Свежие посты   По годам   По датам
  • 24 Августа 2018 » VPNFilter. Факты и ссылки
    Нашумевшему в конце весны вредоносному программному обеспечению VPNFilter сотрудники Cisco Talos ещё 23 мая дали подробное техническое описание, которое потом в различных интерпретациях и, обрастая по пути дополнительными деталями, разошлось по профильным (и не только) СМИ. Дабы каждый раз не выискивать детали по англоязычным и (чаще - переводным) русскоязычным источникам, посвятил VPNFilter одну из своих любимых рубрик: Факты и ссылки. Что такое VPNFilter? VPNFilter - это вредоносное программное обеспечение, заразившее более полумиллиона сетевых устройтв (прежде всего - роутеров) в более чем 50 странах. VPNFilter имеет модульную архитектуру, успешно переживает перезагрузку заражённого устройства и может осуществлять сбор конфиденциальной информаци, а также искажение сетевого трафика с различными деструктивными целями. Что делает VPNFilter? VPNFilter может собирать конфиденциальную информацию (например, пароли) и вмешиваться в сетевой трафик, проходящий через зараженный роутер. В частности, в трафик (гипотетически) может добавляться вредоносное ПО, что может привести к компрометации компьютеров и других устройств, подключающихся к заражённому роутеру. Также VPNFilter может блокировать трафик и даже делать роутер неработоспособным. Почему VPNFilter опасен? Так как весь трафик всех домашних (офисных) устройств проходит через роутер, то при его взломе вся передаваемая конфиденциальная информация попадает в зону риска, под угрозой оказываются также и сами подключаемые устройства. Наконец, находящееся под управлением злоумышленников устройство может быть использовано как площадка для проведения атак на другие цели. При этом с точки зрения атакуемого угроза будет исходить от владельца заражённого устройства, а не от реального злоумышленника. Несёт ли VPNFilter угрозы АСУ ТП? Как это ни странно, но, несмотря на ориентацию VPNFilter на модели для дома и малых офисов, его авторы проявляют особый интерес к промышленным системам управления (SCADA) - в составе VPNFilter есть отдельный модуль, предназначенный для перехвата коммуникационного протокола Modbus(широко применяется в промышленности для организации связи между электронными устройствами). Помогает ли перезагрузка от VPNFilter? VPNFilter может пережить перезагрузку маршрутизатора (подробнее - ниже). Как действует VPNFilter (подробнее)? VPNFilter, судя по всему, эксплуатирует известные уязвимости, имеющиеся в устаревших версиях прошивок сетевых устройств. В силу модульности этого вредоносного ПО процесс заражения разбивается на несколько этапов: Этап 1. Устанавливается Модуль 1, устойчивый к перезагрузке устройства. Основная цель первого этапа состоит в том, чтобы получить постоянный плацдарм и запустить развертывание вредоносного Модуля 2. На этом этапе VPNFilter определяет доступные IP-адреса текущего сервера управления для скачивания Модуля 2 (и 3). При этом используются множественные избыточные механизмы, делающие это вредоносное ПО чрезвычайно надежным и способным справляться с непредсказуемыми изменениями инфраструктуры управления. Этап 2. Скачивается и устанавливается Модуль 2, позволяющий злоумышленникам удалённо осуществлять сбор файлов, выполнять команды и управлять заражённым устройством. Модуль 2 не переживает перезагрузку устройства. Этап 3. Модуль 3 (также не переживает перезагрузку) состоит из различных дополняющих VPNFilter плагинов, предназначенных для выполнения определенных задач: ps - плагин, позволяющий перехватывать сетевые пакеты и выявлять некоторые типы трафика: в частности, TCP/IP-пакеты Modbus; tor - плагин отвечает за взаимодействие VPNFilter со своим центром управления через сеть TOR; ssler - плагин для перехвата и изменения веб-трафика на 80 порту с помощью атак типа «человек в середине», также умеет принудительно «понижать» HTTPS до HTTP; dstr - плагин позволяет перезаписывать критическую часть прошивки устройства и давать команду на его перезагрузку, делая таким образом устройство непригодным для использования. После перезагрузки роутера запускается только первый модуль, а второй и третий модули теряются и должны быть скачаны заново. Именно по этой причине можно встретить рекомендации по перезагрузке устройств в качестве способа борьбы. Тем не менее, без дополнительных шагов (см.ниже) только перезагрузка может не помочь. Какие устройства уязвимы? VPNFilter способен заражать большое количество различных роутеров (маршрутизаторов) и NAS-устройств (сервера для хранения данных на файловом уровне). Как минимум в опасности модели роутеров для дома и малого офиса следующих производителей: Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U) D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N) Huawei (HG8245) Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N) MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5) Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50) TP-Link (R600VPN, TL-WR741ND, TL-WR841N) Ubiquiti (NSM2, PBE M5) Upvel (неизвестные модели) ZTE (ZXHN H108N) Уязвимые NAS-устройства: QNAP (TS251, TS439 Pro и другие с установленным ПО QTS) Начальный червь, устанавливающий Модуль 1, может атаковать устройства с прошивками на основе Busybox и Embedded Linux (специализированная версия, адаптированная для использования в промышленных и других устройствах), скомпилированными под определенные типы процессоров. Сервера и рабочие станции на не-Embedded Linux этим червём не поражаются. Как быстро проверить свой роутер? Можно воспользоваться бесплатной онлайн утилитой от Symantec: http://www.symantec.com/filtercheck/ Естественно, во время проверки надо быть подключенным к сети Интернет через проверяемый роутер. Проверка роутера на VPNFilter Утилита, правда, проверяет только наличие одной из компонент VPNFilter - плагина ssler, но зато делает это быстро. Как защитить себя от VPNFilter? Перезагрузить маршрутизатор. Это может временно нарушить работу вредоносного ПО (его модулей 2 и 3) и потенциально может помочь идентифицировать уже зараженные устройства. По возможности отключить удалённое администрированиеустройства в соответствии с эксплуатационной документацией. Изменить пароль администратора и других используемых учётных записей на новый надёжный и уникальный пароль. Включить шифрование, если устройство позволяет это сделать. Обновить прошивку до последней доступной версии. Для скачивания свежей прошивки разумно обратиться на сайт производителя и там же проверить доступные рекомедации (ссылки на рекомендации некоторых производителей ниже). Что делать в случае заражения? Symantec в случае уверенности в заражении рекомендует следующие шаги: Сохранить текущую конфигурацию устройства и сделать сброс к заводским настройкам (hard reset) в соответствии с документацией на устройство. Выключить и перезагрузить устройство. Из-за особенностей VPNFilter простая перезагрузка без сброса к заводским настройкам может не помочь (см. выше). Отключить устройство от сети Интернет (по возможности) и изменить пароль администратора, установленный по умолчанию. Установить свежие патчи и последню версию прошивки в соответствии с документацией на устройство и рекомендациями производителя. Кто стоит за VPNFilter? По мнению представителей ФБР VPNFilter разработан российской группировкой Fancy Bear, считающейся также причастной к атаке на штаб демократов в ходе выборов США в 2016 году. Материалы по теме Рекомендации производителей Linksys: https://community.linksys.com/t5/Wireless-Routers/VPNFilter-Malware-Update/td-p/1315372 Mikrotik: https://forum.mikrotik.com/viewtopic.php?t=134776 Netgear: https://kb.netgear.com/000058814/Security-Advisory-for-VPNFilter-Malware-on-Some-Routers QNAP: https://www.qnap.com/en-us/security-advisory/NAS-201805-24 TP-Link: https://www.tp-link.com/us/faq-2212.html Русскоязычные материалы [перевод] Безопасность начинается с домашнего машрутизатора, ХабраХабр Ботнет VPNFilter все еще активен и ищет новые устройства для заражения, Хакер.ру Англоязычные материалы New VPNFilter malware targets at least 500K networking devices worldwide, Cisco Talos VPNFilter Update - VPNFilter exploits endpoints, targets new devices, Cisco Talos VPNFilter: New Router Malware with Destructive Capabilities, Symantec VPNFilter malware now targeting even more router brands. How to check if you’re affected, Symantec Reboot Your Router to remove VPNFilter? Why It’s Not Enough, BleepingComputer VPNFilter Can Also Infect ASUS, D-Link, Huawei, Ubiquiti, UPVEL, and ZTE Devices, BleepingComputer Exclusive: FBI Seizes Control of Russian Botnet, Daily Beast Hackers infect 500,000 consumer routers all over the world with malware, Ars Technica

  • 22 Августа 2018 » [таблицы] Системы обнаружения вторжений, сертифицированные по новым требованиям
    См. также: Межсетевые экраны, сертифицированные по новым требованиям Антивирусы, сертифицированные по новым требованиям Средства доверенной загрузки, сертифицированные по новым требованиям Важно! Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.

  • 27 Июля 2018 » Вебинар о "русской" хакерской активности
    Национальный центр кибербезопасности и интегрированных коммуникаций (NCCIC - National Cybersecurity and Communications Integration Center), входящий в состав Министерства внутренней безопасности США (МВБ) организовал целую серию вебинаров (с одним и тем же содержанием), посвящённую активности “русских” хакеров, направленной против критической инфраструктуры США.

  • 20 Июля 2018 » Цикл хайпа для технологий управления учётными данными и доступом от Гартнер
    Добавлено 07.08.2019 — доступен свежий цикл хайпа за 2019 год: https://zlonov.ru/gartner/hc/#IAM

  • 17 Июля 2018 » Схема по выведыванию персональных данных
    Сегодня мне поступил звонок с неизвестного для меня номера телефона и автоматический голос бодро проинформировал о том, что в банке ВТБ24 у меня числится задолженность, которую мне предлагается максимально быстро погасить, чтобы избежать штрафов, суда и прочих неприятностей.

  • 13 Июля 2018 » [таблицы] Антивирусы, сертифицированные по новым требованиям
    См. также: Межсетевые экраны, сертифицированные по новым требованиям Системы обнаружения вторжений, сертифицированные по новым требованиям Средства доверенной загрузки, сертифицированные по новым требованиям Важно! Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.

  • 21 Июня 2018 » [таблицы] МЭ, сертифицированные по новым требованиям
    См. также: Антивирусы, сертифицированные по новым требованиям Системы обнаружения вторжений, сертифицированные по новым требованиям Средства доверенной загрузки, сертифицированные по новым требованиям

  • 31 Мая 2018 » Категорирование КИИ: не спеши, но поторапливайся!
    Постановлением Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в его первоначальной редакции (когда это ещё был только законопроект), предусматривалось два срока: Полгода с момента вступления Постановления в силу отводилось на составления перечня объектов КИИ, подлежащих категорированию (Перечня); Один год с момента утверждения Перечня - непосредственно на само категорирование. В итоговом принятом варианте остался только второй срок. Таким образом, несмотря на то, что обязанность по категорированию объектов КИИ установлена самим федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ», формально конкретный срок для проведения категорирования сейчас законодательно не утверждён. Тем не менее, уже не первый раз всплывает информация, что те или иные государственные органы рассылают письма с напоминанием о необходимости составления Перечня. Так, например, участник тематического Telegram-чата КИИ 187-ФЗ выложил фото письма из ФСТЭК, полученного по его информации одной частной организацией Нижнего Новгорода (в сфере оборонной промышленности), ровно с таким содержанием и с дополнительными рекомендациями по формированию самого Перечня. Привожу с разрешения коллеги (Андрей, спасибо!): В ходе своего выступления на конференции ИБ АСУ ТП КВО Виталий Лютиков ещё в феврале пояснил, что действительно срок не определён, но будут действовать по ситуации: если никто добровольно не начнёт делать Перечни, то рассмотрят вопрос с принудительным введением конкретного срока, ещё и административные меры за несоблюдение предложат ввести: https://www.youtube.com/watch?v=WlVWGMZErHg&feature=youtu.be&t=21m49s В целом, понятно, что рано или поздно составить Перечень придётся и каждый субъект КИИ самостоятельно решает, насколько он готов эту работу отсрочить. Однако, хотелось бы обратить внимание на один важный момент, чтобы это решение было более продуманным. Дело в том, что, как уже отметил выше, после утверждения Перечня на проведение категорирования будет ровно год: Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. (ст.15, ПП 127) В принципе, этого срока для самого категорирования достаточно (если, конечно, не принимать в расчёт длительность бюджетного планирования и продолжительность конкурсных процедур для случаев, когда к работам привлекаются внешние подрядчики), но нюанс в том, что после завершения категорирования нужно в акте и в сведениях, направляемых во ФСТЭК, указать принятые для обеспечения безопасности меры: Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте КИИ, результаты анализа угроз безопасности информации объекта КИИ, реализованные меры по обеспечению безопасности объекта КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов КИИ, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ. (ст.16, ПП 127)   Субъект КИИ в течение 10 дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:       а) сведения об объекте КИИ;       б) сведения о субъекте КИИ, которому на праве собственности, аренды или ином законном основании принадлежит объект КИИ;       в) сведения о взаимодействии объекта КИИ и сетей электросвязи;       г) сведения о лице, эксплуатирующем объект КИИ;       д)сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);       е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз;       ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;       з) категорию значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости;       и) организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо сведения об отсутствии необходимости применения указанных мер.  (ст.17, ПП 127) Вполне может получится так, что какой-то из объектов КИИ окажется значимым, но при этом требуемые меры по обеспечению его безопасности на момент проведения категорирования окажутся реализованными не в полном объёме или нереализованными вовсе. В таком случае субъект КИИ самостоятельно отправит во ФСТЭК информацию о том, что он нарушает Федеральное законодательство: Субъекты критической информационной инфраструктуры, которым на праве собственности,аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры [...] обязаны: 1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти,уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации; (ст.9 п.3 187-ФЗ) </div> </div> </div> </div> Конечно, пока ответственности за невыполнение требований 187-ФЗ по обеспечению безопасности значимых объектов КИИ не установлено (что бы ни рассказывали отдельные интеграторы-пугатели), да и среди оснований для проведения внеплановой проверки ФСТЭК нет ничего вроде "выявление фактов несоблюдения законодательства", но все равно как-то неуютно в такой щекотливой ситуации оказаться. Кстати, согласно Постановления Правительства РФ №162 от 17.02.2018 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ» одним из оснований для проведения внеплановой проверки может являться инцидент, повлекший негативные последствия. Так что ФСТЭК в таком случае сразу будет знать, какие из мер не были приняты. Слайд из презентации представителя ФСТЭК в разъяснение ПП-162: [caption id="attachment_12907" align="aligncenter" width="699"] Основания для проверок[/caption] В общем, совсем затягивать с отправкой Перечня, конечно, не стоит, но и нужно осознавать всё вышеизложенное. В более выгодном положении, конечно, находятся те, кто ранее уже занимался обеспечением безопасности своих систем - в соответствии с 17/21/31 приказами или без оглядки на них. Ну, а если для явно значимых объектов КИИ до сих никаких мер по обеспечению безопасности не принималось, то не лучше ли будет озаботиться именно этой стороной вопроса, а не формальным выполнением важной, конечно, но всё-таки бумажной работы по отправке Перечней и сведений о категорировании? Впрочем, в каждой конкретной ситуации нужно, конечно, разбираться отдельно и составлять дорожную карту по соблюдению требований 187-ФЗ индивидуально.

  • 08 Мая 2018 » На кого распространяется 187-ФЗ О безопасности КИИ?
    При обсуждении 187-ФЗ О безопасности КИИ одним из первых обычно возникает вопрос о том, на кого именно он распространяется? Ответ на этот вопрос с одной стороны можно дать совершенно однозначный, но с другой - малоинформативный. Почти как в анекдоте про собеседование. Тем не менее, Федеральный закон - это всё же не какой-то ведомственный приказ или информационное сообщение, а нормативно-правовой акт, высокостоящий в общей иерархии правовой системы Российской Федерации. Поэтому попробуем разобраться. Начать стоит, конечно, с вдумчивого прочтения самого 187-ФЗ. Прежде всего - с прочтения трёх важных определений в пунктах 5, 6 и 7 статьи 2: критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов; объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры; субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

  • 28 Апреля 2018 » Как в macOS импортировать контакты из табличного файла?
    Бывают ситуации, когда в адресную книгу надо добавить сразу много контактов (например, при переносе их с другой платформы или после завершения какого-либо мероприятия). Понятно, что делать это вручную достаточно утомительно. Процесс хочется автоматизировать.