30 сентября 2016

[уязвимость] ЛК нашла уязвимости в платежных терминалах и дорожных камерах

«Лаборатория Касперского» выяснила, что многие элементы умного города, облегчающие гражданам получение услуг, содержат уязвимости, которые позволяют раскрыть личные данные, следить за пользователями или распространять вредоносный код.

Такие выводы были сделаны на основании анализа различных платежных и информационных терминалов, в том числе автоматов по продаже билетов в кино, оплате проката велосипедов, терминалов регистрации пассажиров на рейс в аэропортах и инфоматов в государственных учреждениях. Кроме того, выяснилось, что злоумышленники легко могут получить доступ к камерам регистрации скорости на дорогах.

Все платежные и информационные терминалы работают на Windows либо на Android, а основное их отличие от других видов цифровых устройств заключается в наличии режима «киоска» — интерактивной графической оболочки, которая перекрывает пользователю доступ к привычным функциям операционной системы, оставляя лишь ограниченный набор возможностей, необходимых для исполнения назначения терминала. Тем не менее злоумышленники могут воспользоваться всеми функциями операционной системы благодаря уязвимостям и недостаткам конфигурации, которые имеются почти в любом подобном устройстве, и реализовать с их помощью свои корыстные цели.

Например, в интерфейсе некоторых терминалов содержатся ссылки на внешние сайты. С их помощью злоумышленники могут получить доступ к операционной системе устройства и запустить виртуальную клавиатуру. Этот недостаток конфигурации позволяет осуществить запуск вредоносных приложений.

Другой тип уязвимости был найден в терминале, предназначенном для печати квитанций. После того как пользователь заполняет все поля, вводит реквизиты и нажимает кнопку «Создать», терминал на некоторое время открывает стандартное окно печати. У злоумышленника есть несколько секунд, чтобы успеть изменить параметры печати и выйти в справочный раздел. Оттуда он может перейти в панель управления и открыть экранную клавиатуру. Это дает ему возможность, например, запустить вредоносный код, получить информацию о распечатанных файлах, узнать пароль администратора на устройстве.

«Некоторые терминалы обрабатывают личные данные пользователей, в том числе номера банковских карт и мобильных номеров из списка контактов. С помощью многих из этих устройств можно подключиться к другим элементам инфраструктуры умного города. Это открывает широкие возможности для разных видов атак — от простого хулиганства до вторжения в сеть владельца терминала. В будущем устройства, облегчающие получение разных видов услуг, будут еще более распространены, поэтому производителям уже сейчас нужно убедиться, что они не содержат недостатки конфигурации, которые мы обнаружили», — предупреждает Денис Макрушин, антивирусный эксперт «Лаборатории Касперского».

Кроме того, эксперты проанализировали ряд камер регистрации скорости. Выяснилось, что злоумышленники могут без проблем подключиться к ним и манипулировать собранными данными. Найти IP-адреса этих устройств легко позволяет поисковый механизм Shodan, а для доступа к ним, как оказалось, не нужен никакой пароль: видеопоток и дополнительные данные, например, географические координаты камер, может увидеть любой пользователь Интернета. Кроме того, в открытом доступе в Сети находятся некоторые инструменты, использующиеся для контроля над камерами.

«В некоторых городах камеры регистрации скорости фиксируют нарушения лишь на определенных полосах движения, и эту функцию можно легко отключить. Данные с этих устройств иногда используются правоохранительными органами, и наличие подобных уязвимостей может сыграть на руку преступникам, совершающим кражи и другие преступления. Вот почему важно защищать камеры по крайней мере от прямого доступа из Интернета», — говорит Владимир Дащенко, антивирусный эксперт «Лаборатории Касперского».


Источник: Anti-Malware.ru

[ZLONOV.ru] Check Point — без Сноудена всё было бы иначе

ZLONOV.ru
Пост Check Point — без Сноудена всё было бы иначе опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

28 сентября 2016

[ZLONOV.ru] Fortinet Security Day 2016

ZLONOV.ru
Пост Fortinet Security Day 2016 опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

26 сентября 2016

[ZLONOV.ru] Код ИБ АСУ ТП: Уфа — Челябинск

ZLONOV.ru
Пост Код ИБ АСУ ТП: Уфа — Челябинск опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

24 сентября 2016

[уязвимость] Экспертам удалось получить контроль над Tesla Model S на расстоянии 20 км

Исследователи проэксплуатировали ранее неизвестную уязвимость в ПО электромобилей.

Исследователи из Keen Security Lab (подразделение китайского интернет-гиганта Tencent) продемонстрировали атаку на электромобили Tesla Model S. Проэксплуатировав неизвестную ранее уязвимость в программном обеспечении машин, эксперты смогли активировать тормоза, открыть двери и сложить зеркала, находясь на расстоянии 20 км от автомобилей. Исследователи опубликовали видео, демонстрирующее атаку, однако не будут раскрывать подробности об уязвимости до тех пор, пока производитель ее не исправит.

Keen Security Lab осуществили атаку на Tesla Model S P85 и 75D, однако, по их словам, она работает и для других моделей Tesla. Эксперты работали над эксплоитом в течение нескольких месяцев и в итоге получили доступ к механизму, отвечающему за движение водительского сидения, включили индикаторы, открыли люк и активировали дворники. Кроме того, им удалось скомпрометировать сенсорный экран, контролирующий целый ряд функций автомобиля.

Как пояснили исследователи, атака осуществляется бесконтактным путем без какого-либо физического взаимодействия с транспортным средством. Эксперты получили доступ к системам как припаркованных, так и движущихся электромобилей.

Обновлено: Во вторник, 20 сентября, на следующий день после публикации видео с атакой Tesla исправила уязвимости. Как сообщил производитель, реакция компании последовала незамедлительно, несмотря на то, что, по ее оценкам, "риск для клиентов был очень невелик". 


Источник: Securitylab.ru

16 сентября 2016

Эксперты продемонстрировали новый способ эксплуатации ПЛК

В отличие от червя Stuxnet, новый руткит не детектируется решениями безопасности.

Исследователи Али Аббаси (Ali Abbasi) и Маджид Хашеми (Majid Hashemi) разработали новый метод атаки на промышленные контроллеры, использующиеся для управления индустриальными процессами. В отличие от червя Stuxnet, созданным ими руткит не детектируется средствами обеспечения безопасности, сообщает Darkreading.

Руткит атакует непосредственно ПЛК, в то время как Stuxnet был нацелен на SCADA-системы промышленных предприятий, пояснил Аббаси. Вредонос работает на нижнем уровне АСУ, поэтому обнаружить его гораздо сложнее. Руткит способен функционировать на контроллерах любых торговых марок.

В ходе атаки специалисты внедрили вредоносный код в динамическую память устройства, что позволило им манипулировать процессами контроллера I/O, например, повысить температуру бойлера до взрывоопасной. Более подробную информацию об исследовании Аббаси и Хашеми представят в рамках конференции Black Hat Europe, которая пройдет в Лондоне в ноябре нынешнего года.

Напомним, в минувшем мае немецкие хакеры Ральф Спеннеберг (Ralf Spenneberg) и Майк Брюггеман (Maik Brüggeman) продемонстрировали первого червя для программируемых логических контроллеров. Вредонос способен распространяться по ПЛК, не заражая компьютер.


Источник: Securitylab.ru

[уязвимость] General Motors отзывает свыше 3 млн автомобилей из-за ошибки в ПО

Ошибка в ПО модуля датчиков и диагностики может привести к тому, что в случае аварии не сработают подушки безопасности.

В прошлую пятницу, 9 сентября, компания General Motors уведомила владельцев порядка 3,64 млн автомобилей своего производства о необходимости перепрошить программное обеспечение модуля датчиков и диагностики (SDM). Причиной является ошибка в ПО, из-за которой в случае аварии не срабатывают подушки безопасности и преднатяжители ремней безопасности.

Согласно уведомлению компании, проблема возникает «при определенных редких обстоятельствах, если столкновению предшествовало событие, повлиявшее на динамику транспортного средства». Что подразумевается под «редкими обстоятельствами», в General Motors не уточняют, однако, по данным Reuters, из-за ошибки в ПО один человек уже погиб и еще трое получили серьезные травмы.

Проблема затрагивает следующие марки автомобилей производства General Motors:

  • Buick LaCrosse, Chevrolet SS и Spark EV 2014-2016 годов выпуска;

  • Chevrolet Corvette, Trax, Caprice PPV и Silverado 1500; Buick Encore и GMC Sierra 1500 2014-2017 годов выпуска;

  • Chevrolet Tahoe, Suburban и Silverado HD; GMC Yukon, Yukon XL и Sierra HD; Cadillac Escalade и Escalade ESV 2015-2017 годов выпуска. 


Источник: Securitylab.ru

13 сентября 2016

Исследователи разработали метод атаки на 3D-принтеры при помощи смартфона

Атакующему потребуется запрограммировать датчики смартфона на считывание звуковых и электромагнитных волн, исходящих от 3D-принтера.

Команда исследователей из Университета штата Нью-Йорк в Буффало разработала метод извлечения данных с 3D-принтера при помощи обычного смартфона. Для этого атакующему потребуется всего лишь запрограммировать встроенные датчики смартфона на считывание звуковых и электромагнитных волн, исходящих от 3D-принтера во время печати.

Расположив смартфон рядом с устройством ученым удалось считать информацию о печатаемом объекте и использовать ее для создания 3D-модели на другом принтере. По словам экспертов, для обеспечения высокой точности распознавания формы печатаемого объекта смартфон должен находиться в непосредственной близости от принтера. Разместив телефон в 20 см от печатной машины, авторы смогли обеспечить 94%-ю точность распознавания формы объектов невысокой сложности, например, ограничителя для дверей. Для более сложных объектов, таких как автозапчасти или медицинские устройства, точность снижалась, но не опускалась ниже 90%.

Большая часть данных (80%) поступает из электромагнитных волн, остальные – из звуковых. Как пояснили эксперты, смартфоны позволяют извлечь достаточный объем данных, что ставит под угрозу сохранность конфиденциальной информации. Воспользовавшись вышеуказанным методом, злоумышленники могут незаметно похищать объекты интеллектуальной собственности, реализуемые в печатном объекте.


Источник: Securitylab.ru

Слишком громкий звук на 10 часов вывел из строя дата-центр европейского банка

Использовавшийся в ходе тестирования системы пожаротушения газ издавал звук, повредивший десятки жестких дисков.

Дата-центр финансовой организации ING Bank в Бухаресте (Румыния) вышел из строя на 10 часов в результате пожарных учений. Причиной инцидента послужил редкий феномен – десятки жестких дисков были повреждены из-за слишком громкого звука, издаваемого использовавшимся в ходе учений инертным газом.

Целью учений было протестировать работу установленной в дата-центре системы пожаротушения. Как правило, для тушения пожара в центрах обработки данных используется инертный газ, поскольку он не оказывает на оборудование химического воздействия и лишь немного повышает температуру.

Газ хранится в баллонах и при необходимости с большой скоростью высвобождается из распылителей, равномерно распределяясь о всему помещению. Давление в дата-центре ING Bank оказалось выше, чем предполагалось, и в процессе распыления газ издавал громкий звук, превышающий 130 дБ. Акустические волны вызвали вибрацию, которая и вывела из строя жесткие диски. Вибрация с корпусов передалась на головки чтения/записи, что вызвало их смещение.  

Источник: Securitylab.ru

10 сентября 2016

Принтеры оказались самыми уязвимыми устройствами в сфере «Интернета вещей»

Многие современные принтеры, поддерживающие протокол печати через интернет, предлагают общий доступ к файлам.

Маршрутизаторы более не являются самыми уязвимыми устройствами в интернете, уступив пальму первенства принтерам, утверждает исследователь компании BitDefender Богдан Ботезату (Bogdan Botezatu).

«Мы получаем огромное количество данных телеметрии в нашей лаборатории. Маршрутизатор уже не является самым худшим устройством в интернете. Теперь это принтер», - приводит издание The Register слова эксперта.

Это довольно громкое утверждение, учитывая, что в последнее время появилось немало сообщений об уязвимостях в маршрутизаторах того или иного производителя. К примеру, в конце августа нынешнего года в маршрутизаторе производства китайской компании BHU были обнаружены множественные уязвимости, позволяющие злоумышленникам осуществлять различные действия. В частности, обойти механизм аутентификации, просмотреть системный журнал, перехватить трафик, внедрить бэкдор и даже выполнить команды с правами суперпользователя.

По словам исследователя, многие современные принтеры, поддерживающие протокол печати через интернет, предлагают общий доступ к файлам. При этом значительное количество пользователей не считают нужным менять заводские настройки и отключить данную опцию. Соответственно, злоумышленнику не составит труда получить доступ к важным конфиденциальным документам.

Ранее исследователи из Нью-Йоркского университета предупредили о том, что подключенные к интернету 3D-принтеры могут использоваться не только для создания трехмерных объектов, но и для промышленного шпионажа. К примеру, преступники могут удаленно получить контроль над устройством и внести изменения в процесс производства.


Источник: Securitylab.ru

[инцидент] Турецкие хакеры атаковали аэропорт в Вене

Атака является акцией протеста против проявленного руководством аэропорта «расизма».

Министерство внутренних дел Австрии расследует неудавшуюся попытку кибератаки на аэропорт Вены, предположительно осуществленную турецкими хакерами из Aslan Neferler Tim. Группировка, также известная как Lion Soldiers Team, сообщила в Twitter об атаке на аэропорт Вены в прошлые выходные.

По словам хакеров, их действия являются ответом на «расизм», проявленный руководством аэропорта. Вероятно, имеется в виду произошедший недавно случай, когда турецким гражданам было отказано в предоставлении временной визы. Пассажиры летели рейсом, совершившим вынужденную посадку в Вене по техническим причинам. Из-за отказа выдать визы они не смогли выйти из здания аэропорта, снять номер в отеле и были вынуждены ночевать в зале ожидания.

Как заявляют хакеры, они выступают против нападок на «мусульман и турков». Полиция отказалась комментировать инцидент.  

Источник: Securitylab.ru

Минобороны РФ испытывает новую систему взлома вражеских беспилотников

Комплекс может глушить сигнал управления дроном, взламывать бортовой компьютер и перехватывать управление устройством.

Министерство обороны России проводит испытания нового радиоэлектронного комплекса «Шиповник-АЭРО», который может глушить сигнал управления беспилотным летательным аппаратом, взламывать бортовой компьютер и перехватывать управление устройством.

Как сообщают «Известия» со ссылкой на осведомленный источник в ведомстве, разработка уже включена в список перспективных систем борьбы с беспилотниками, которые планируется взять на вооружение. По словам создателя «Шиповник-АЭРО» ВНИИ «Эталон», решение способно идентифицировать и глушить сигналы управления неприятельскими дронами в радиусе порядка 10 км, выбирая тип помехи на основе параметров цели. Комплекс может перехватить сигнал управления беспилотником, расшифровать его и получить полный контроль над устройством.

Ознакомившись с проектом, Минобороны подготовило свои замечания, которые будут направлены разработчику комплекса. После доработки за испытание системы возьмутся военные специалисты. По оценкам ведомства, первые поставки «Шиповник-АЭРО» начнутся в ближайшие два-три года. 


Источник: Securitylab.ru

05 сентября 2016

Индийская компания продает уязвимости нулевого дня в АСУ ТП Siemens за €2 млн

Aglaya предлагает целый спектр разнообразных услуг, от заказных DDoS-атак до «кибероружия».

Летом 2014 года малоизвестный подрядчик из Нью-Дели (Индия) вознамерился прорваться на многомиллиардный рынок правительственных эксплоитов и шпионского ПО. С целью привлечь потенциальных клиентов компания Aglaya выпустила весьма впечатляющую рекламную брошюру. В 20-страничном документе представлены инструменты для шпионажа и криминалистической экспертизы, как правило предлагаемые производителями на закрытых конференциях с участием правительств стран мира.

Брошюра, полученная журналистами Motherboard и никогда ранее не публиковавшаяся, проливает свет на рынок весьма спорных инструментов из арсенала правоохранительных органов и спецслужб. Данный документ, а также опубликованный недавно увесистый каталог продуктов британской компании Cobham являются наглядным примером растущей популярности коммерческих инструментов для слежения.

Согласно брошюре, всего за €3 тыс. Aglaya предлагает покупателям шпионское ПО для Android- и iOS-устройств, а за €250 тыс. компания берется отследить любой смартфон в мире. По существу, Aglaya предлагает стандартный набор услуг, предоставляемый такими компаниями как Hacking TeamFinFisher и NSO Group, продававшей не имеющий аналогов инструмент для взлома iOS-устройств Pegagus.

Помимо стандартного пакета услуг, у Aglaya есть еще козыри в рукаве. Компания готова в течение 8-12 недель модифицировать результаты выдачи в поисковых системах и новостную ленту в таких соцсетях, как Facebook и Twitter, с целью «манипуляции текущими событиями». Данная услуга получила название «Weaponized Information» («Информационное оружие»).  В рамках услуги компания готова проводить операции «infiltration» («фильтрация»), «ruse» («уловка») и «жало» («sting»), направленные на «дискредитацию цели», будь то «отдельное лицо или компания». Длительность операции составляет 8-12 недель и стоит €2,5 тыс.  

Помимо прочего, Aglaya предлагает сервис «DDoS-атака как услуга» за €600 в день. За $1 млн компания продает «кибероружие» для атак на электростанции и другие объекты критической инфраструктуры. За €2 млн желающие могут приобрести уязвимости нулевого дня в промышленном оборудовании производства Siemens.         

Источник: Securitylab.ru

02 сентября 2016

[ZLONOV.ru] Travelata: если ведёшь себя как мошенник, тебя за него и примут


Пост Travelata: если ведёшь себя как мошенник, тебя за него и примут опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

Уже более миллиона IoT устройств входят в состав различных ботнетов

Исследователи Level 3, совместно с коллегами из компании Flashpoint, представили отчет, который наглядно демонстрирует: ботнеты, состоящие из различных IoT-устройств, эффективны и пользуются большой популярностью в киберкриминальных кругах. Семейство малвари, известное под названиями Gafgyt, Lizkebab, BASHLITE и Torlus, заразило уже более миллиона устройств, и исследователи сообщают, что в состав одного из IoT-ботнетов входят более 120 000 ботов.

В начале июля 2016 года специалисты компании Arbor Networks рассказали о том, что ботнеты, состоящие из различных IoT-девайсов и построенные на базе LizardStresser и его форков, множатся день ото дня. Тогда специалисты сообщали об обнаружении более ста активных командных серверов.

Согласно данным Level 3 и Flashpoint, ситуация продолжает ухудшаться. Инструменты, созданные на базе исходных кодов LizardStresser, которые были опубликованы в открытом доступе еще в 2015 году, позволяют с легкостью заражать IoT-устройства и использовать их для осуществления DDoS-атак. Особенно уязвимы девайсы, работающие на базе x86, ARM и MIPS. Так как LizardStresser был изначально написан на C и ориентирован на Linux-архитектуры, IoT-устройства стали для хакеров настоящей золотой жилой. Исследователи пишут, что уже более миллиона подключенных к интернету устройств стали чьими-то ботами. К примеру, 96% ботов Gafgyt — это различные IoT-гаджеты. Подавляющее большинство зараженных устройств находится на территории Тайваня, Бразилии и Колумбии.

Исследователи пишут, что самыми популярными мишенями злоумышленников по-прежнему являются IP-камеры и цифровые видеорегистраторы (DVR). Именно они составляют основу подобных ботнетов — на них приходится 95% всех ботов. Только 4% заражений приходятся на домашние роутеры и веб-серверы Linux.

О том, что камеры видеонаблюдения и DVR-системы стали одной из главных целей хакеров, еще в июне 2016 года писали специалисты компании Sucuri. Тогда им удалось обнаружить ботнет, состоящий из 25 000 камер. Хотя обнаруженный аналитиками Sucuri ботнет был создан на базе другой, куда более сложной малвари, в его состав входили CCTV-системы, принадлежащие H.264 DVR бренду. Похожую картину обнаружили и исследователи Level 3: чаще всего заражению подвергаются устройства Dahua Technology и H.264 DVR.

Совместно эксперты Level 3 и Flashpoint изучили деятельность более чем 200 управляющих серверов Gafgyt, Lizkebab, BASHLITE и Torlus. Данное семейство вредоносов достаточно примитивно. Малварь написана на C и позволяет осуществлять UDP или TCP флуд, но «не умеет» использовать техники усиления и отражения трафика.

Кроме того, адреса командных серверов жестко прописаны в коде малвари, так что если серверы, к примеру, были арестованы правоохранительными органами, операторы ботнета не имеют возможности просто поднять новый командный сервер и вернуть себе контроль над ботами. После подобных инцидентов злоумышленникам нужна новая малварь, а также приходится повторно заражать всех ботов. К сожалению, по словам исследователей, эти неудобства не останавливают атакующих, особенно в свете того, что «дырявых» IoT-устройств становится больше с каждым днем, а для их взлома, как правило, нужна лишь простейшая автоматизированная брутфорс-атака.

Согласно отчету, в среднем ботнеты на базе Gafgyt «живут» около 13 дней. Самый крупный замеченный специалистами ботнет насчитывал более 120 000 устройств, а самый маленький — всего 74 девайса. Исследователи полагают, что операторы IoT-ботнетов не стремятся наращивать мощности, так как им вполне хватает нескольких тысяч зараженных гаджетов. Дело в том, что большинство зараженных устройств — это DVR и камеры наблюдения, а значит, они имеют огромную полосу пропускания для работы с видео, и вполне пригодны для организации DDoS-атак, мощностью в сотни Гбит/с.

Правоту экспертов хорошо иллюстрирует новый отчет, представленный 1 сентября 2016 года их коллегами из Arbor Networks. По данными компании, мощность DDoS-атак, осуществленных во время Олимпийский игр в Рио на различные организации, связанные с проведением Олимпиады, доходила до 540 Гбит/с (см. иллюстрацию выше). При этом исследователи утверждают, что основным инструментом для организации атак до начала Олимпиады выступал один единственный ботнет из IoT-устройств, при поддержке нескольких менее мощных ботнетов. Хотя злоумышленники в данном случае все же пользовались отражением и усилением UDP-трафика, а также подключали к делу NS, chargen, ntp и SSDP, обычный UPD и SYN флуд сыграл важную роль в ходе этой кампании.


Источник: «Хакер»