Personal blog of Alexey Komarov about information security, especially — industrial cybersecurity.
30 июля 2016
[инцидент] ФСБ обнаружила масштабную кибератаку на госорганы России
Исследователи обнаружили способ обхода аутентификации через QR-код
[уязвимость] Siemens устранила уязвимости в продуктах Siemens Simatic и SINEMA
29 июля 2016
[ZLONOV.ru] Проект WikiSec.ru приглашает редакторов
Пост Проект WikiSec.ru приглашает редакторов опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
28 июля 2016
[ZLONOV.ru] Статистика инцидентов и аналитика по кибербезопасности АСУ ТП
Пост Статистика инцидентов и аналитика по кибербезопасности АСУ ТП опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
27 июля 2016
[уязвимость] Умные лампочки — угроза для бизнеса
[аналитика] План развития «интернета вещей» в РФ может привести к технологической изоляции страны
[аналитика] В США выпущено первое правительственное руководство по реагированию на кибератаки
26 июля 2016
Apple придумала, как надежно защитить iPhone нового поколения
[ZLONOV.ru] [статистика] [опрос] Пароли используют все, SMS-коды популярнее токенов, а биометрия — решение нишевое
Пост [статистика] [опрос] Пароли используют все, SMS-коды популярнее токенов, а биометрия — решение нишевое опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
25 июля 2016
[аналитика] Проект Auto-ISAC выпустил руководство по кибербезопасности для автопроизводителей
SMS-аутентификация устарела, считают в институте стандартов и технологий
[ZLONOV.ru] Отчёт ICS-CERT за май-июнь 2016 — Shodan, взгляд врага и что болит в АСУ
Пост Отчёт ICS-CERT за май-июнь 2016 — Shodan, взгляд врага и что болит в АСУ опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
22 июля 2016
[аналитика] Безопасность железных дорог из открытых источников
Введение
[аналитика] Промышленные системы управления — 2016: уязвимость и доступность
21 июля 2016
[ZLONOV.ru] Как Чебурашка Крокодилов на Код ИБ онлайн попал
Пост Как Чебурашка Крокодилов на Код ИБ онлайн попал опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
18 июля 2016
[аналитика] Объекты критической инфраструктуры открыты в Интернете
С помощью двухфакторной аутентификации исследователь заставил Instagram, Google и Microsoft звонить на платные номера
17 июля 2016
[аналитика] Взломанные 3D-принтеры могут использоваться для промышленного саботажа
ФБР собирает масштабную биометрическую базу данных для поиска преступников
Fiat Chrysler будет выплачивать премии за поиск уязвимостей в автомобилях компании
В обычных видеороликах на YouTube можно спрятать вредоносные голосовые команды
[аналитика] «Лаборатория Касперского» оценила уязвимость АСУ
[уязвимость] Исследователи продемонстрировали взлом автомобиля BMW через web-сайт производителя
Умные часы можно использовать для перехвата введенного PIN-кода
Суд в США признал обмен паролями нарушением федерального закона
Подобное решение суда – настоящий ночной кошмар, уверены правозащитники.
В среду, 6 июля, один из наиболее влиятельных американских судов, Апелляционный суд девятого округа США, признал обмен паролями нарушением «Закона США о компьютерном мошенничестве» (U.S. Computer Fraud and Abuse Act, CFAA). Как правило, данный закон применяется в случаях, связанных с хакерскими атаками, поэтому решение суда фактически приравнивает обмен паролями к киберпреступлению.
Согласно решению Апелляционного суда девятого округа США, действия бывшего сотрудника исследовательской компании Korn Ferry Дэвида Ноузала (David Nosal), воспользовавшегося паролем своего бывшего сослуживца для получения доступа к базе данных компании, является нарушением CFAA.
Подобное решение суда – настоящий ночной кошмар, уверены правозащитники. Столь широкое толкование закона означает, что миллионы американцев невольно нарушают федеральное законодательство, обмениваясь своими паролями для авторизации в учетных записях Netflix, HBO, Spotify, Facebook и других сервисах. Судья Стивен Рейнхардт (Stephen Reinhardt) также не согласен с коллегами. По его словам, подобные решения «грозят обычным гражданам уголовной ответственностью за все виды безобидного ежедневного поведения».
Источник: Securitylab.ru
[уязвимость] В системе управления электроподстанциями Siemens нашли уязвимости
[уязвимость] Устранены опасные уязвимости в АСУ ТП Siemens SICAM PAS
[инцидент] Conficker использовался для атак на IoT-устройства в американских больницах
[уязвимость] Эксперт PT помог защитить цифровые подстанции ABB от взлома
[уязвимость] Исправлены две опасные уязвимости в АСУ-ТП Advantech WebAccess
[уязвимость] ЛК помогла закрыть серьезную уязвимость в оборудовании для энергосистем
[аналитика] Безопасность АСУ-ТП систем не улучшается, несмотря на растущие угрозы
15 июля 2016
В России будет создан национальный протокол для «интернета вещей»
Промышленные компании и операторы связи создают консорциум для разработки российского протокола обмена информацией между устройствами,снабженными модулями беспроводной связи,так называемого интернета вещей(IoT). Беспроводные датчики используются в частности крупными промышленными предприятиями,компаниями оборонно-промышленного комплекса,нефтегазовыми компаниями.
Уязвимости в оборудовании IoT могут стать потенциальной угрозой для стратегически важных отраслей РФ. Ряд крупных холдингов,включая Ростех и НПО«Сатурн» готовы совместно с сотовыми операторами разработать защищенный протокол IoT,сказал Roem.ru источник,знакомый с ситуацией. Со стороны операторов в проекте участвуют МТС,«МегаФон», «Вымпелком», «Т2 РТК Холдинг»(бренд Tele2) и GS Group,владелец«Триколор ТВ». Рабочее название консорциума — Российская ассоциация«интернета вещей». Координацию проекта возьмет на себя Фонд развития интернет-инициатив(ФРИИ).
Среди компаний,предлагающих отечественные решения в области«интернета вещей» источник называет компанию«СТРИЖ Телематика», резидента«Сколково», который специализируется на решениях в области энергоэффективности. Скорее всего,к консорциумы присоединятся и другие российские поставщики решений в области IoT,а также заинтересованные в развитии этой сферы промышленные холдинги.
Сейчас на уровне протоколов и технологий IoT царит полный зоопарк: используется свыше 300 различных решений обмена данными,какие-то решения уязвимы для кибер-атак и слабо защищены,особенно в промышленности,где многие технологии устарели,какие-то решения — решают крайне узкие задачи и не подходят для масштабирования,какие-то — не совместимы с другими общепринятыми протоколами. Выработка единого защищенного протокола призвана решить проблемы защиты критической инфраструктуры, — сказал PR-директор ФРИИ Сергей Скрипников.
В перспективе консорциум может также заняться стандартизацией решений«интернета вещей» в России,то есть выйти за рамки стратегических отраслей и начать работать над оптимизацией технологий IoT в потребительском секторе.
Минпромторг и Минкомсвязи также планируют отдать под связь в рамках проектов IoT частоты 694−790 МГц,которые освободились в рамках проекта по переходу с эфирного телевиденья на цифровое.
Источник: Roem.ru — Все новости
13 июля 2016
[инцидент] Злоумышленники продают доступ к элементам SCADA-систем
Сквозное шифрование на Facebook Messenger как opt-in
В минувший уикенд Facebook начала тестировать функцию сквозного шифрования на своем IM-сервисе; по умолчанию она будет деактивирована. Новый механизм именуется Secret Conversations и реализует протокол Signal разработки Open Whisper Systems, тот самый, который используется в мессенджерах Signal и WhatsApp.
Новую опцию Facebook придется не только включать самостоятельно, но и использовать лишь на одном устройстве в ходе обмена. «Возможность секретного диалога – это опция, – пишут представители Facebook в анонсе. – Многие, к примеру, хотят, чтобы мессенджер сохранял активность при переключении между устройствами: планшетом, десктопом, телефоном. Секретные сообщения можно будет читать лишь на одном устройстве, и это, возможно, не всем понравится».
Глава ИБ-службы Facebook Алекс Стамос (Alex Stamos) опубликовал несколько твитов, объяснив причины, по которым компания приняла такое решение.
Технические подробности взаимодействия двух сторон в рамках Secret Conversations изложены в отдельном документе, выложенном в открытый доступ в минувшую пятницу. Защищенный от точки до точки диалог не похож на обычное общение через Facebook Messenger, который изначально рассчитан на групповое общение с разных устройств и с применением различного ПО – браузеров, мобильных приложений. Использование сквозного шифрования, по замыслу, предполагает привязку к конкретному устройству, на котором генерируются ключи и осуществляется управление ими; эти ключи в Facebook не передаются. Сообщения при этом шифруются по алгоритму AES в режиме CBC, для подтверждения их подлинности используется HMAC-SHA256.
Facebook также предупреждает, что при смене предпочтений существующие сообщения и криптоключи на новое устройство передаваться не будут. «Facebook будет возвращать участникам обмена ошибку на все последующие попытки отправки сообщений на устройство, выбранное ранее для секретных коммуникаций, – сказано в техническом описании Secret Conversations. – Отправителю, получившему такую отбивку, придется заново начать секретный диалог с новым устройством, при этом пользователю отображается предупреждение о смене ключа идентификации. Мессенджер не перешлет отбитое сообщение на новое закрепленное устройство автоматически, от пользователя потребуется явно выраженное действие на повторную передачу».
Аудиторию Facebook Messenger составляют около 1 млрд. пользователей, и при таких масштабах ввод сквозного шифрования как опции не удовлетворил поборников приватности и гражданских свобод. Так, известный активист Кристофер Согоян (Christopher Soghoian) так отозвался в Твиттере на нововведение Facebook: «Шифрование как opt-in хорошо для грамотных пользователей, у которых есть время изучать малопонятные настройки безопасности. Не катит, Facebook».
Разработчик Signal Мокси Марлинспайк (Moxie Marlinspike) отреагировал более сдержанно: «Хотя этот релиз не включает сквозное шифрование для всех бесед по умолчанию, как это сделано в WhatsApp или Signal, это все же большой шаг. Остается надеяться, что Messenger на этом не остановится, и сквозное шифрование будет развернуто для всего пакета услуг».
Источник: Threatpost | Новости ИБ
12 июля 2016
[ZLONOV.ru] Palo Alto Networks: шашечки или ехать?
Пост Palo Alto Networks: шашечки или ехать? опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
[аналитика] Кибератаки на критически важную инфраструктуру: методы борьбы и российские нормативы
О том, как обстоит дело с защитой критически важной инфраструктуры в России, рассказали эксперты.
08 июля 2016
[ZLONOV.ru] Решения Газинформсервис в Каталоге СрЗИ
Пост Решения Газинформсервис в Каталоге СрЗИ опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
07 июля 2016
[ZLONOV.ru] [промо] Подарок читателям: промокод 20% скидки на Код ИБ онлайн
Пост [промо] Подарок читателям: промокод 20% скидки на Код ИБ онлайн опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
05 июля 2016
[ZLONOV.ru] Двухфакторная аутентификация для WordPress
Пост Двухфакторная аутентификация для WordPress опубликован на сайте ZLONOV.ru
Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov
АНБ интересуется IoT-устройствами и медицинским оборудованием
Интересную позицию высказал на саммите Defense One Tech, посвященном военным технологиям, заместитель директора АНБ Ричард Ледгетт (Richard Ledgett). Он сообщил аудитории, что Агентство не постесняется взламывать IoT-устройства, если ими пользуются «плохие парни». И не важно, что эти устройства могут быть медицинскими приборами.
Ледгетт рассказал, что АНБ находится в постоянном поиске новых источников данных об иностранных угрозах, и новая волна всевозможных IoT-устройств — это идеальный для ведомства инструмент. Учитывая небезопасность IoT-девайсов и многочисленные уязвимости, которые в них обнаруживают постоянно, это действительно настоящий подарок для спецслужб.
Заместитель директора пояснил, что сотрудники АНБ не «переходят к нападению» и не пытаются активно взламывать подключенные к сети приборы. Пока интернет вещей рассматривается ими с теоретической точки зрения и представляет для агентства большой интерес. При этом Ледгетт признал, что взлом биометрических устройств может значительно облегчить сбор данных о международных террористах и шпионах. Ограничений в этих вопросах АНБ для себя не ставит. Медицинские приборы, к примеру, кардиостимуляторы, интересуют их едва ли не в первую очередь.
Затем Ледгетта спросили, как АНБ в целом рассматривает общую массу IoT-устройств, от игрушек, оснащенных Wi-Fi, до медицинских приборов; является ли все это для АНБ золотой жилой или скорее представляет собой настоящий кошмар безопасника. Заместитель директора ответил, что верны оба варианта ответа.
Также Ледгетт объяснил, почему АНБ не смогло взломать iPhone террориста, устроившего стрельбу в Сан-Бернардино. Он заявил, что АНБ ранее не сталкивалось с тем, чтобы террористы использовали такие устройства. Соответственно, на их изучение не выделялось финансирование и человеческие ресурсы. В итоге у АНБ попросту не было инструментов для взлома, поэтому ведомство не сумело помочь коллегам из ФБР.