31 января 2017

Датчики электронных устройств можно взломать с помощью аудиоколонок

Взломы сенсоров не так занимают умы исследователей безопасности, как, например, взломы операционных систем, однако их последствия недооценивать нельзя. В ходе выступления на конференции Enigma 2017 профессор Корейского института передовых технологий Ёндаэ Ким (Yongdae Kim) продемонстрировал, как активные и пассивные датчики можно взломать с помощью обыкновенной лазерной указки или аудиоколонок, настроенных на нужную частоту.

Пассивные датчики наподобие гироскопов и магнитометров просто делают измерения и предоставляют полученные данные. Активные датчики, такие как радары и гидролокаторы, сначала отправляют сигнал, а потом измеряют полученный отраженный сигнал. И те, и другие датчики взломать сравнительно легко.

В частности, гироскопы используются в беспилотных летательных аппаратах. Поскольку для любого материала существует частота, заставляющая его вибрировать, вывести из строя гироскоп дрона и заставить аппарат упасть довольно несложно, уверен Ёндаэ Ким. Команда профессора протестировала 15 моделей беспилотников серийного производства и для семи из них нашла частоты, вызывающие вибрацию. Диапазон частот для каждого аппарата оказался разным, и некоторые из них даже не улавливаются человеческим ухом.

В ходе своего выступления Ёндаэ Ким продемонстрировал, как можно вывести из строя дрон, воздействовав на него звуковыми волнами с определенной частотой. Атака наиболее эффективна, когда атакующий находится вблизи беспилотника. По мере удаления от аппарата звук необходимо усиливать.

Как отметил профессор, у разработанного им метода есть несколько минусов. Во-первых, корпус гироскопа может оказаться очень крепким, и повлиять на датчик будет сложно. Кроме того, использование слишком громкого звука для выведения из строя дрона далеко не всегда уместно.

Помимо дрона, эксперту также удалось с помощью обыкновенной лазерной указки успешно вывести из строя датчик медицинского устройства, ответственного за дозировку препарата в капельнице. В результате ему удалось удвоить дозу, а также на 45% замедлить поступление препарата через капельницу.


Источник: Securitylab.ru

ДАИШ в будущем способна осуществлять кибератаки на критическую инфраструктуру

В настоящее время исламские террористы не располагают возможностями для выведения из строя сетей энергоснабжения, транспортной системы и банковских организаций или для получения контроля над ключевыми промышленными объектами. Тем не менее, в будущем такая возможность может появиться, считают эксперты. У боевиков мало опыта в проведении операций в киберпространстве, однако они могут нанять специалистов.

«Вряд ли в ближайшее время стоит ожидать появления цифровых атак, влекущих за собой серьезные последствия. Однако все может измениться очень быстро. Чего нужно по-настоящему бояться, так это того, что они (ред. – террористы) прибегнут к услугам наемников, людей, готовых на все ради денег», – сообщил Агентству Франс-Пресс глава французской ИБ-компании ANSSI Гийом Пупар (Guillaume Poupard) на международной конференции по кибербезопасности в Лилле (Франция).

ДАИШ (ИГИЛ, запрещена в РФ), «Аль-Каида» и другие террористические организации в настоящее время используют интернет практически только для распространения пропаганды и вербовки. По совам Пупара, террористы весьма хорошо обучены, но их навыков недостаточно для проведения серьезных атак на объекты критической инфраструктуры. Однако с «несколькими десятками человек и не такими уж большими деньгами», возможно все, отметил эксперт.

«Вряд ли террористы ДАИШ способны быстро изобрести инструменты для кибератак, однако они могут обратиться к посредникам», - подчеркнул Пупар.

Возможность использования террористами хакеров-наемников также озвучил директор Европола Роб Уэйнрайт (Rob Wainwright) в ходе своего выступления на Всемирном экономическом форуме, прошедшем в Давосе ранее в этом месяце. Как пояснил Уэйнрайт, даже если пока что у террористов нет необходимых инструментов, они попросту могут купить их в даркнете. «Их технологии (ред. – для вербовки) передовые, и они прекрасно знают, что с ними делать и как использовать», – сообщил глава Европола.


Источник: Securitylab.ru

В Wonderware Historian вшиты дефолтные пароли

Группа быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT) предупреждает о критической уязвимости в Wonderware Historian, системной платформе производства Schneider Electric, используемой для сбора, хранения и контроля больших объемов данных.

«Wonderware Historian создает логины с дефолтным паролем, что позволяет злоумышленнику скомпрометировать базы данных Historian, – сказано в информационном бюллетене ICS-CERT. – При некоторых сценариях установки могут быть скомпрометированы также другие ресурсы, помимо созданных Wonderware Historian».

Уязвимости, приватно раскрытой Русланом Хабаловым и Ианом Би (Jan Bee) из отдела Google по оценке соответствия федеральным стандартам тестирования, присвоен идентификатор CVE-2017-5155. Эта брешь актуальна для Wonderware Historian 2014 R2 SP1 P01 и более ранних версий. На запрос Threatpost о комментарии Schneider Electric пока не ответила.

В бюллетене ICS-CERT приведены рекомендации разработчика по снижению рисков. Так, Schneider Electric советует определить, где используются регистрационные данные, созданные Wonderware Historian. Наиболее вероятными кандидатами являются Wonderware Historian Client, InTouch и скрипты Application Object, настройки Information Server и все кастомные приложения, взаимодействующие с базой данных Historian. Неиспользуемые учетные записи следует деактивировать в SQL Server Management Studio, а для тех, которые используются, нужно сменить пароль.

«Для повышения уровня безопасности Schneider Electric и Microsoft также советуют осуществлять связь с SQL Server с применением Windows Integrated Security, а не под стандартными для SQL логинами», – наставляют авторы бюллетеня ICS-CERT.


Источник: Threatpost | Новости ИБ

Теперь Facebook поддерживает аппаратные U2F-токены для аутентификации

Компания Facebook объявила, что в очередной раз усиливает безопасность системы аутентификации и теперь будет поддерживать аппаратные ключи.

Эксперты уже достаточно давно предупреждают, что использование SMS-сообщений для осуществления двухфакторной аутентификации – не самая хорошая идеи, и вскоре это останется в прошлом. К примеру, специалисты Национального института стандартов и технологий США считают использование SMS «недопустимым» и «небезопасным».

Компании Google, Dropbox, GitHub, Salesforce и другие предлагают своим пользователям альтернативу в виде аппаратных USB-токенов, использующих стандарт Universal 2nd Factor (U2F), разработанный FIDO Alliance. Наиболее известные решения такого рода продает компания Yubico, один U2F-ключ от Yubico в среднем обойдется пользователю в $20.

Теперь и Facebook разрешает использование аппаратных токенов U2F. Пока U2F-ключи являются не заменой, но альтернативной аутентификации через SMS-сообщения. По мнению специалистов Facebook, данное решение позволит пользователям получить практически полный иммунитет против фишинговых атак, ведь злоумышленнику понадобится физический доступ к токену пользователя, а это не так просто, как перехват SMS.

Подробнее о привязке U2F-ключей к аккаунту можно почитать здесь.


Источник: «Хакер»

Отель заплатил хакерам за разблокировку дверей в номера постояльцев

Хакеры взломали электронную систему регистрации ключей отеля Romantik Seehotel Jaegerwirt (Австрия) и заблокировали входные двери в номера, где находились постояльцы. Руководству отеля пришлось выплатить злоумышленникам €1,5 тыс. в биткойнах для того, чтобы выпустить постояльцев из заточения, сообщает издание The Local.

«Отель был полностью забронирован, у нас не было другого выбора. Ни полиция, ни страховка в этом случае не помогут», - отметил управляющий отеля Кристоф Брандстеттер (Christoph Brandstaetter).

Инцидент произошел в начале зимнего сезона. Как рассказали в администрации, хакеры уже трижды атаковали компьютерную систему отеля. В результате последней атаки оказались отключены все компьютеры отеля, включая кассовую систему и систему бронирования.

После того, как требуемая сумма была выплачена, компьютеры и система регистрации ключей были разблокированы. Злоумышленники оставили бэкдор в системе и позднее вновь попытались атаковать отель, однако к тому времени все компьютеры в гостинице уже были заменены на новые.


Источник: Securitylab.ru

[ZLONOV.ru] Код ИБ 2017

ZLONOV.ru
Пост Код ИБ 2017 опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

30 января 2017

[ZLONOV.ru] Выбор бесплатного сертификата для собственного домена

ZLONOV.ru
Пост Выбор бесплатного сертификата для собственного домена опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

27 января 2017

[ZLONOV.ru] Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП?

ZLONOV.ru
Пост Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП? опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

26 января 2017

[ZLONOV.ru] Позитивные итоги 2016 и прогнозы на 2017

ZLONOV.ru
Пост Позитивные итоги 2016 и прогнозы на 2017 опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

24 января 2017

Эксперты выпустили инструмент для взлома беспилотников

Эксперты американской компании Department 13 сообщили об успешном реверс-инжиниринге зашифрованных команд ряда популярных дронов.

В понедельник, 23 января, компания выпустила инструмент под названием MESMER, позволяющий любому пользователю перехватить контроль над пролетающим мимо беспилотным летательным аппаратом. Как сообщил изданию The Register руководитель Department 13 Джонатан Хантер (Jonathan Hunter), его сотрудникам удалось осуществить реверс-инжиниринг и взломать сигнальные протоколы, используемые беспилотниками Parrot, DJI и 3DR. Для этого они проанализировали исходящие и поступающие к дронам радиосигналы. По словам Хантера, реализованное в беспилотниках шифрование является уязвимым, и взломать его не составило труда.

«Пока что никто не реализует шифрование должным образом. Производители не делают дроны устойчивыми к АНБ (Агентству национальной безопасности США – ред.). Всегда есть известный эксплоит», – отметил эксперт.

Подробности о проделанной работе Хантер не сообщил, поскольку злоумышленники могут использовать результаты исследования для противодействия разработанному Department 13 инструменту. Эксперт также не уточнил, о каких именно «сигналах» шла речь – радиосигналах в диапазоне ISM (индустриальный, научный и медицинский диапазон) или проприетарных команд, получаемых беспилотниками от своих операторов.


Источник: Securitylab.ru

20 января 2017

PT помогает General Electric защитить системы водоснабжения и ЛЭП

Эксперт Positive Technologies Илья Карпов обнаружил уязвимости в программном обеспечении GE Digital, предназначенном для автоматизации производства в энергетике, водоснабжении, нефтегазовой и пищевой промышленности, автомобилестроении и в других сферах.

Эксплуатация этих недостатков может привести к нарушению технологических процессов на тысячах предприятиях по всему миру. Уязвимость CVE-2016-9360, получившая оценку 6,4 балла по шкале CVSS v3, позволяет злоумышленнику локально перехватить пароли пользователей при наличии доступа к авторизованной сессии. Слабо защищены пароли пользователей в таких продуктах General Electric, как Proficy HMI/SCADA iFIX 5.8 SIM 13, Proficy HMI/SCADA CIMPLICITY 9.0, Proficy Historian 6.0 и в их предыдущих версиях. 

Еще одна обнаруженная брешь с оценкой 6.8 по шкале CVSS v3 дает возможность нарушителю или вредоносному приложению, имеющих локальный доступ, с помощью несложных манипуляций заполучить пароли к базам с производственными данными. Этому недостатку защищенности подвержена система iFIX 5.8 (Build 8255) и более ранние сборки. 

Третья уязвимость, найденная экспертом Positive Technologies (в Proficy Historian Administrator 5.0.195.0), получившая оценку 3.3, позволяет локальному атакующему блокировать работу приложения для авторизации в базе данных реального времени, что может приводить к сбоям при чтении и записи исторической информации и неработоспособности базы данных. 

Также во всех трех системах исследователем Positive Technologies был обнаружен критический недостаток механизма безопасности, связанный с использованием стандартных паролей для авторизации доступа по сети, что позволяет удаленно получить доступ к управлению производственным процессом. 

Для устранения указанных уязвимостей необходимо обновить Proficy HMI/SCADA iFIX до версии 5.8 SIM 14, Proficy HMI/SCADA CIMPLICITY — до версии 9.5, а Proficy Historian — до версии 7.0. 

«Наличие паролей пользователей в открытом виде чревато перехватом контроля над SCADA-системой, — говорит руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов. — Штатно авторизовавшись в системе, атакующий может достаточно глубоко влиять на технологический процесс, что грозит не только экономическими потерями, но и поломкой оборудования, авариями. В случае получения пароля к базам данных, злоумышленник или «зловред» смогут нелегитимно ее модифицировать, что создает опасность возникновения различных нештатных ситуаций и потери исторических данных, без которых трудно расследовать причины аварии или каких-то изменений в системе».


Источник: Anti-Malware.ru

Главными врагами безопасности IoT являются разработчики

Ботнет Mirai является только вершиной айсберга в вопросе безопасности «Интернета вещей» (IoT). Такое мнение выразили ИБ-эксперты на конференции linux.conf.au, проходящей 17-20 января в австралийском городе Хобарт.

Как отметил разработчик встроенных систем Кристофер Биггс (Christopher Biggs), использование ботнета Mirai для осуществления масштабных DDoS-атак отвлекло внимание от других угроз, представляемых незащищенными IoT-устройствами. По словам эксперта, помимо прочего, киберпреступники могут использовать взломанные видеокамеры или видеорегистраторы с целью слежения за жертвой или шантажа. С помощью скомпрометированных IoT-устройств злоумышленники могут собрать большой объем данных о жертве.

«Может показаться забавным, если кому-то удастся использовать автономные компьютеры для получения бесплатной еды или бензина. Однако что вы скажете, если ваши светильники вдруг начнут мигать каждые 200 миллисекунд и перестанут только тогда, когда вы заплатите преступнику выкуп в биткойнах?», - отметил Биггс.

Как отметил эксперт, межсетевые экраны бессильны перед подобной угрозой, поскольку блокируют только входящий трафик. Если UPnP не был отключен, то IoT-устройство может открывать любой порт.

«Вы берете в дом или офис устройство, над которым не имеете никакой власти. Вы не подозреваете, какую угрозу оно может представлять, и не можете устанавливать обновления ПО», - заявил еще один участник конференции, Том Истмэн (Tom Eastman).

По мнению Биггса, главная ответственность за незащищенность IoT-устройств лежит на разработчиках, которые при создании встроенных систем не принимают во внимание поведение обычных пользователей. «В большинстве случаев на устройствах отсутствует информация о его модели. Если она уязвима, вам наверняка об этом неизвестно. Даже если известно, то, скорее всего, патча нет, а если вы пожалуетесь, то наверняка всем наплевать», - цитирует Биггса издание The Register.

По словам эксперта, разработчики используют Linux, не задумываясь о безопасности. Проще установить полную версию ОС, чем напрячься и уменьшить возможности для атак. В некоторых случаях лучше и вовсе вместо Linux использовать более простые ОС.


Источник: Securitylab.ru

19 января 2017

Касперский предрек рост числа атак на российские промышленные объекты

В нынешнем году в России ожидается рост числа хакерских атак. Киберпреступники будут атаковать самые разнообразные компьютеризированные устройства, в том числе объекты критической инфраструктуры и производства. Об этом в среду, 18 января, сообщает издание «РИА Новости» со ссылкой на главу «Лаборатории Касперского» Евгения Касперского.

Как рассказал Касперский в кулуарах Всемирного экономического форума в Давосе, исследователи его компании уже несколько лет подряд наблюдают усиление вредоносной активности в «нетрадиционных сегментах». Речь идет об устройствах «Интернета вещей» (IoT), таких как камеры видеонаблюдения, ставших излюбленной целью хакеров наряду с компьютерами и мобильными телефонами. Напомним, в прошлом году проблема безопасности IoT-устройств всколыхнула общественность после появления опасного ботнета Mirai.

Отвечая на вопрос о главных киберугрозах в 2017 году, Касперский выразил беспокойство по поводу усиления в России кибератак на промышленные объекты, представляющие собой сложные компьютеризированные системы.


Источник: Securitylab.ru

17 января 2017

Rakos строит ботнет из устройств интернета вещей

Специалисты ESET обнаружили вредоносную программу Linux/Rakos, атакующую устройства интернета вещей. По аналогии с известными червями для Linux, Rakos ищет встроенные устройства и серверы с открытым SSH-портом и слабыми или заводскими паролями. Зараженные устройства используются для дальнейшего распространения программы. 

Атака начинается с небольшого списка IP-адресов, затем число целей увеличивается. В настоящее время заражение угрожает только слабо защищенным устройствам. Есть информация о пострадавших в результате сброса до заводских настроек и установки паролей по умолчанию. 

Если заражение успешно, Linux/Rakos разворачивает на устройстве локальный НТТР-сервер. Он позволяет новым версиям программы закрывать процессы старых версий и преобразовать URL-запросы.

Бот также разворачивает веб-сервер, который прослушивает входящие соединения на случайных ТСР-портах – порт выбирается случайным образом в диапазоне от 20 000 до 60 000. 

Далее программа направляет НТТР-запрос, содержащий информацию о зараженном устройстве, включая логин и пароль, на командный сервер злоумышленников. 

Пока Rakos строит ботнет из незащищенных устройств и не используется для злонамеренных действий. В будущем можно ожидать появления новых функций – от проведения DDoS-атак до рассылки спама. С другой стороны, специалисты ESET не исключают, что программа представляет собой результат неудачного эксперимента.


Источник: Anti-Malware.ru

16 января 2017

[ZLONOV.ru] Проект постановления правительства о требованиях к ИБ АСУ ТП

ZLONOV.ru
Пост Проект постановления правительства о требованиях к ИБ АСУ ТП опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

13 января 2017

С помощью селфи можно снять отпечатки пальцев, предупреждают эксперты

С помощью селфи можно снять отпечатки пальцев, предупреждают эксперты

Исследователи из Национального Института Информатики в Японии утверждают, что отпечатки пальцев могут быть извлечены из фотографий. Эксперт Исао Эчизен (Isao Echizen) рассказал, что отпечатки пальцев могут быть скопированы с фотографий, сделанных с расстояния до трех метров. При этом снимки должны быть четкими и сделанными при хорошем освещении. Технология, необходимая для репликации отпечатков пальцев не считается передовой, но для завершения ее разработки потребуется около двух лет. 

«Если пользователь, например, покажет жест «виктория» (распространенный жест, означающий победу или мир) перед камерой, то его отпечатки пальцев вполне могут стать широкодоступными. Рисунок отпечатков пальцев может быть воссоздан, если они находятся в фокусе с сильным освещением в кадре» - говорит Эчизен. 

Требуемое расстояние (не менее трех метров), по словам исследователя, позволит охватить отпечатки всех, кто увлекается так называемыми селфи-фото. Исследовательская группа создала прозрачную пленку оксида титана, которая маскирует отпечатки в фотографиях. Полученные результаты представляют особый интерес для Японии, так как в культуре азиатских стран жест «виктория» очень популярен и имеет особое значение.

Источник: Anti-Malware.ru

12 января 2017

Кардиостимуляторы St. Jude Medical оказались уязвимы для атак, компания выпустила патч

В конце августа 2016 года исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Capital выступили со смелым заявлением: якобы медицинское оборудование компании St. Jude Medical содержит многочисленные уязвимости и представляет опасность для пациентов. Тогда исследователи и инвесторы представили совместный аналитический отчет (PDF), который содержал мало конкретных данных о найденных уязвимостях, но все равно спровоцировал стремительное падение акций St. Jude Medical.

Представители St. Jude Medical, в свою очередь, ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивала, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе были названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра.

В итоге St. Jude Medical подала на MedSec и Muddy Waters в суд, и разбирательство продолжается до сих пор. Представители St. Jude Medical обвинили исследователей и инвесторов в том, что те преследовали финансовую выгоду, намеренно опубликовав доклад и спровоцировав падение стоимости акций компаний. Напомню, что сами MedSec и Muddy Waters не отрицали своей финансовой выгоды, но также заявляли, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к происходящему.

Но оставим за скобками правовые и финансовые аспекты. Куда более интересен тот факт, что уязвимости в оборудовании St. Jude Medical оказались настоящими и весьма опасными. Данным инцидентом еще осенью прошлого года заинтересовалось Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое инициировало расследование случившегося. В октябре 2016 года независимые исследователи подтвердили выводы исследователей MedSec, то есть обнаружили уязвимости в медицинском оборудовании производителя. Представители FDA сообщили, что до эксплуатации проблем злоумышленниками дело, к счастью, не дошло, однако они не стали приуменьшать важность проблемы:

«Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда», — гласит отчет FDA.

В начале января 2017 года St. Jude Medical завершила сделку с Abbott Laboratories, запланированную еще в прошлом году, и практически сразу после этого компания сообщила о выпуске обновлений для серии устройств Merlin, которые работают с кардиостимуляторами и кардиодефибрилляторами компании. Согласно официальному пресс-релизу St. Jude Medical, с выходом обновлений были устранены «незначительные проблемы с кибербезопасностью».

На выпуск патчей уже отреагировали представители MedSec и Muddy Waters, которые, как ни странно, по-прежнему недовольны действиями St. Jude Medical:

«Сначала St. Jude яро отрицали тот факт, что их медицинские устройства страдают от уязвимостей и подали на нас в суд, а теперь St. Jude выпустили заявление, которое, по сути, подтверждает правоту исследования, ранее опубликованного MedSec и Muddy Waters.

Это признание назревало давно, а тот факт, что оно было сделано спустя считанные дни после продажи St. Jude компании Abbott Laboratories, лишний раз убеждает нас в том, что компания ставит свои прибыли выше пациентов. Также это убеждает нас в том, что если бы мы не заявили об этих [проблемах] публично, в St. Jude не стали бы исправлять уязвимости.

Как бы то ни было, не похоже, чтобы анонсированные исправления решали другие, куда более серьезные проблемы, включая наличие универсального кода, который может помочь хакерам перехватить контроль над имплантатами».

Представители FDA пообещали продолжить оценку деятельности St. Jude Medical, а также высказались о безопасности подобных медицинских приборов в целом. По мнению FDA «плюсы для здоровья пациентов, которые несет использование таких приборов, перевешивают риски, связанные с кибербезопасностью».


Источник: «Хакер»

Турецкий министр обвинил хакеров из США во взломе энергосистемы

Турецкий министр обвинил хакеров из США во взломе энергосистемы

Министр энергетики и природных ресурсов Турции Берат Албайрак, комментируя недавние перебои с подачей электричества в Стамбул и его пригороды, заявил, что они возникли из-за американских кибератак, сообщает turkishminute.com

"Мы столкнулись с интенсивными, инициированными со стороны США кибератаками. Они проводились систематически на различные объекты министерства энергетики, но мы отразили их все", - заявил Берат Албайрак во время программы, вышедшей в эфире телеканала A Haber. 

Он добавил, что в результате "акта саботажа" были атакованы подземные линии электропередач в трех районах Стамбула. "В данный момент нет никакой угрозы для энергоснабжения Турции", - заявил турецкий министр, который на днях подвергся резкой критике в турецких СМИ из-за отключений электроэнергии в Стамбуле на протяжении нескольких последних дней, передает rg.ru.

Источник: Anti-Malware.ru

Число атак на АСУ ТП в 2016 году выросло на 110%

По данным экспертов IBM Managed Security Services, по сравнению с прошлым годом в 2016 году число атак на автоматизированные системы управления технологическими процессами (АСУ ТП) увеличилось на 110%. Столь существенный всплеск исследователи связывают с ростом количества брутфорс-атак на SCADA-системы.

Вероятно, хакеры используют фреймворк для тестирования на проникновение smod, опубликованный на GitHub в январе текущего года. Данный инструмент может использоваться для оценки безопасности коммуникационного протокола Modbus и включает возможности для брутфорса. По словам эксперта IBM Managed Security Services Дэйва Макмиллена (Dave McMillen), к росту атак на АСУ ТП привела публикация и дальнейшее использование smod неизвестными исследователями.

С января по ноябрь 2016 года главным источником, как и главной целью подобных атак являлись США. По словам экспертов, это связано с наличием в стране большого числа подключенных к интернету АСУ ТП. 60% зафиксированных IBM атак исходили из США. Далее следуют Пакистан (26%), Китай (12%), Нидерланды (5%) и Индия (4%). 90% всех атак были направлены на предприятия в США. Кроме того, в список жертв хакеров входят Китай, Израиль, Пакистан и Канада.


Источник: Securitylab.ru

IBM: критическая инфраструктура под прицелом хакеров

Согласно статистике подразделения IBM по ИБ-услугам, количество кибератак на объекты критической инфраструктуры за год выросло на 110% за счет участившихся брутфорс-атак на SCADA-системы.

Хакеры использовали для этого инструмент пентестинга smod, который доступен на GitHub с января 2016 года. Утилита проверяет степень безопасности протоколов Modbus, а также умеет проводить брутфорс-атаки. Доступность инструмента, по мнению исследователей, и стала косвенной причиной активизации хакеров, атакующих критическую инфраструктуру.

По данным IBM, основной целью хакеров с начала 2016 года являлись объекты критической инфраструктуры на территории США (90% от общего количества). Парадоксально, что именно США стали основным источником таких атак (60% от общего количества). Эксперты связывают это с тем, что США являются страной с самым большим количеством систем управления критической инфраструктуры.

Среди основных источников атак специалисты выделили Пакистан (20%), Китай (12%), Нидерланды (5%) и Индию (4%). Хотя США в абсолютном большинстве случаев становятся мишенью атак, в список наиболее атакуемых стран вошли также Китай, Израиль, Пакистан и Канада.

Последние годы показали, что объекты критической инфраструктуры становятся самыми желанными целями кибератак, что уже отметили ИБ-эксперты. «Лаборатория Касперского» назвала атаки на объекты критической инфраструктуры одним из основных трендов 2017 года; также безопасность критической инфраструктуры заявлена как одно из самых приоритетных направлений ИБ-доктрины РФ.

В 2013 году группа иранских хакеров скомпрометировала системы управления нью-йоркской плотиной. Тогда США впервые предъявили обвинения в атаке на национальную инфраструктуру лицам, действующим по заказу правительства иностранного государства. В декабре 2015 года троянец Black Energy был замечен в нескольких атаках на энергетический сектор Украины, в частности на компанию «Прикарпатьеоблэнерго». В июле IBM зарегистрировала атаку вредоносной программы-дроппера SFG как минимум на одну европейскую компанию, специализирующуюся в сфере электроэнергетики. Анализ образца якобы показал, что зловред используется в спонсируемых государством целевых кибератаках, хотя позднее эксперты опровергли этот вывод.


Источник: Threatpost | Новости ИБ

Siemens исправила недостаточную энтропию в ICS-системах

Siemens выпустила обновление прошивки, устраняющее уязвимость в популярных контроллерах линейки Desigo PX, которые используются, в частности, для автоматизированного управления теплохладотехникой в зданиях промышленного назначения.

В минувшую среду вышел соответствующий информационный бюллетень ICS-CERT, посвященный так называемой уязвимости недостаточной энтропии (insufficient entropy), допускающей в данном случае удаленный эксплойт. «В случае успеха эксплуатация этой уязвимости позволит атакующему получить закрытые ключи, используемые интегрированным сервером для HTTPS-связи», – предупреждают эксперты.

Список затронутых веб-модулей включает PXA40-W0, PXA40-W1 и PXA40-W2 для Desigo-контроллеров PXC00-E.D, PXC50-E.D, PXC100-E.D, и PXC200-E.D, а также модулей PXA30-W0, PXA30-W1 и PXA30-W2 в устройствах моделей PXC00-U, PXC64-U и PXC128-U. Уязвимости подвержены все версии прошивки ниже V6.00.046.

Брешь, которой присвоен идентификатор CVE-2016-9154, открывает возможность для угона веб-сессий без дополнительной аутентификации. «Уязвимые устройства используют генератор псевдослучайных чисел, который создает сертификаты для HTTPS с недостаточной степенью непредсказуемости, что потенциально позволяет удаленному злоумышленнику воссоздать соответствующий приватный ключ», – так характеризуют Siemens и ICS-CERT эту брешь.

Согласно OWASP, причиной таких уязвимостей является недостаток энтропии в результатах ГПСЧ. «Генераторы псевдослучайных чисел обычно страдают от недостаточной энтропии при запуске, так как данные энтропии в этот момент могут быть еще не доступны», – поясняет OWASP.

Обновление прошивки V6.00.046 от Siemens устранит эту уязвимость в модулях Desigo PX. Данных об активной эксплуатации нет, и разработчик убежден, что использовать CVE-2016-9154 на практике будет трудно.

Информационный бюллетень ICS-CERT был составлен при участии Siemens и группы исследователей из университета штата Пенсильвания.


Источник: Threatpost | Новости ИБ

11 января 2017

В системах управления электроподстанциями обнаружены уязвимости

Специалисты компании Positive Technologies Илья Карпов и Дмитрий Скляров выявили уязвимости в программном обеспечении Siemens SICAM PAS (Power Automation System), предназначенном для построения АСУ ТП в энергетике.

Данное ПО используется на подстанциях различных классов напряжения в России, странах Европы и на других континентах. Производитель подтвердил наличие брешей и выпустил рекомендации по их устранению. 

Уязвимости связаны с ненадежным хранением паролей и разглашением чувствительной информации. Наибольшую опасность представляет ошибка безопасности CVE-2016-8567, получившая оценку 9,8 по 10-балльной шкале CVSSv3, что соответствует высокому уровню опасности. Злоумышленники могут удаленно получить привилегированный доступ к базе данных SICAM PAS, используя стандартную возможность дистанционного конфигурирования через TCP-порт 2638 и жестко закодированные пароли в заводских учетных записях. 

Вторая обнаруженная Positive Technologies уязвимость CVE-2016-8566 с оценкой 7,8 позволяет узнать учетные записи пользователей и восстановить к ним пароли (после получения доступа к базе данных SICAM PAS). Причина — в слабых алгоритмах хеширования паролей. 

«Критический уровень опасности этих уязвимостей обусловлен возможностью удаленно переконфигурировать SICAM PAS на энергетическом объекте, блокировать работу системы диспетчеризации или вызвать различные аварии, включая системные», — отметил руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов.   

Для устранения этих уязвимостей производитель рекомендует обновить SICAM PAS до версии 8.0. Необходимо также заблокировать доступ к портам 19235/TCP и 19234/TCP с помощью, например, брандмауэра Windows, что позволит до выпуска дополнительных патчей закрыть две другие описанные в бюллетене безопасности бреши.   

Это не первая совместная работа двух компаний в 2016 году. Летом Siemens сообщил о двух уязвимостях CVE-2016-5848 и CVE-2016-5849, обнаруженных также Ильей Карповым и Дмитрием Скляровым. Данные уязвимости получили низкий уровень опасности, так как ими нельзя воспользоваться удаленно (оценка 2,5 по шкале CVSSv3). Для их устранения надо обновить SICAM PAS до версии 8.08.   

В октябре 2016 года Siemens опубликовал информацию также о двух уязвимостях (CVE-2016-7959 и CVE-2016-7960) в интегрированной среде разработки программного обеспечения SIMATIC STEP 7 (TIA Portal), найденных руководителем отдела анализа приложений Positive Technologies Дмитрием Скляровым. В частности, злоумышленник, имея локальный доступ к проектам SIMATIC STEP 7 и TIA Portal, может разобрать алгоритм скрытия хешей паролей и узнать используемые пароли в проекте для ПЛК Simatic S7. 


Источник: Anti-Malware.ru

С помощью метаданных можно определить профессию человека

Когда в 2013 году Эдвард Сноуден раскрыл секретные программы слежения, проводимые Агентством национальной безопасности США, спецслужба заверяла, что не занимается прослушкой, а только собирает метаданные. Тем не менее, как показало исследование экспертов Массачусетского технологического института, норвежской телекоммуникационной компании Telenor и компании Flowminder, метаданные из телефона могут многое рассказать о пользователях.

По словам исследователей, проанализировав метаданные из мобильных устройств, можно узнать, работает ли человек, а если работает, то кем. В своем отчете эксперты подробно рассказали, как им удалось получить метаданные 76 тыс. пользователей одного из азиатских операторов связи и на основании этих сведений определить их род деятельности. Точность определения составила 67,5%, а в случае с профессией «клерк» - 73,5%.

В ходе исследования эксперты использовали такие метаданные, как модель устройства, степень взаимодействия при каждом его использовании, используемая базовая станция и время, когда осуществлялось подключение к ней, количество полученных и отправленных текстовых сообщений и пр.

Целью исследователей являлось создание системы для вычисления статистики по профессиям в странах, где отсутствуют большие базы данных. Если в систему загрузить отформатированные метаданные с телефона, она определит, соответствует ли его владелец одной из 18 предусмотренных категорий (студент, аграрий, землевладелец и т.д.).


Источник: Securitylab.ru

09 января 2017

Загадочный ботнет Rakos атакует IoT-устройства

Исследователи ESET сообщили о растущем ботнете из устройств «Интернета вещей» (IoT) и Linux-серверов, инфицированных новым вредоносным ПО Rakos. Угроза была обнаружена летом текущего года и, по словам экспертов, в теперешнем своем виде является малоопасной.

В настоящее время злоумышленники используют Rakos для осуществления брутфорс-атак на IoT-устройства с целью заражения их вредоносом и включения в ботнет. По существу, зараженный гаджет просто передает инфекцию дальше, способствуя росту ботнета, но это пока все. Никаких свидетельств вредоносной активности ботнета, такой как рассылка спама или осуществление DDoS-атак, обнаружено не было. Тем не менее, вскоре она может проявиться.

Текущая версия Rakos способна выполнять лишь ограниченное число операций – инфицировать устройства, устанавливать соединение с C&C-серверами и получать от них конфигурационный файл со списком комбинаций из паролей и логинов. Вредонос запрашивает у управляющего сервера IP-адрес, а затем пытается авторизоваться через порт SSH с помощью одной из комбинаций учетных данных. Печально известный вредонос Mirai работает по такому же принципу, однако вместо SSH использует Telnet.

Если Rakos удалось авторизоваться, вредонос загружает свой код на новый хост, а также загружает и запускает локальный web-сервер с использованием порта 61314. Через определенные интервалы времени Rakos передает на C&C-сервер такие данные о хосте, как архитектура процессора, номер версии, IP-адрес, подробности об аппаратном обеспечении и пр.

В любой момент C&C-сервер может отправить боту обновления с новыми функциями. Сейчас Rakos не является персистентным и удаляется после перезагрузки системы. Тем не менее, если устройство не защищено надежным паролем, в считанные минуты оно снова заражается вредоносным ПО.


Источник: Securitylab.ru

Развлекательные системы позволяют перехватить управление самолетом

Уязвимость в мультимедийной системе Panasonic Avionics, используемой на борту самолетов 13 крупных авиакомпаний, в том числе Air France и American Airlines, позволяет хакерам удаленно перехватить контроль над самолетом, сообщает The Telegraph со ссылкой на исследование специалиста компании IOActive Рубена Сантамарты (Ruben Santamarta).

Проэксплуатировав проблему, Сантамарта смог взломать бортовой информационный дисплей и изменить данные о высоте и местоположении, управлять освещением кабины, взломать систему оповещения, а также в некоторых случаях получить доступ к данным о кредитных картах постоянных авиапассажиров, содержащимся в автоматизированной системе оплаты. По словам эксперта, данная уязвимость может быть использована для получения доступа к управлению самолетом.

«Я не думаю, что эти системы могут противостоять атакам квалифицированных хакеров. Это зависит только от решительности и намерений атакующего, с технической точки зрения атаки вполне осуществимы», - отметил Сантамарта.

Масштаб ущерба, нанесенного взломом, зависит от того, насколько авиакомпания изолировала свои системы. Например, бортовая развлекательная система не должна быть подключена к устройствам пассажиров или системе управления самолетом, но не все авиаперевозчики соблюдают это правило, говорит Сантамарта.

Как отмечает The Telegraph, исследователи проинформировали компанию Panasonic об уязвимостях в марте прошлого года. В настоящее время неясно, предпринял ли производитель какие-либо меры по устранению проблем.


Источник: Securitylab.ru