Свежие посты   По годам   По датам
  • 10 Октября 2018 » Серия вебинаров о безопасности КИИ
    Как показал опыт нескольких лет проведения вебинаров в УЦСБ, крайне удачным оказался формат серий вебинаров, объединённых одной темой. В этом году такой темой ожидаемо стала безопасность критической информационной инфраструктуры и соответствующий Федеральный закон №187-ФЗ.

  • 28 Сентября 2018 » Итоги экспресс-опроса по нюансам 187-ФЗ
    В рамках прошедшей в Санкт-Петербурге конференции Global Information Security Days на модерируемой мной секции “Опыт выполнения требований законодательства в области обеспечения безопасности критической информационной инфраструктуры” был организован SMS-опрос, вопросы для которого подобрал как раз под темы прозвучавших докладов (свой и коллег).

  • 17 Сентября 2018 » [HowTo] Как добавить java-скрипт в раздел head для форума на Discourse?
    Самый простой способ добавить java-скрипт (например, рекламный скрипт от Google Ads или скрипт счётчика посещений) в раздел <head> для форума на Discourse - это включить его в описание какой-либо темы или компонента в разделе: /admin/customize/themes [caption id=”attachment_71267” align=”aligncenter” width=”1024”] Как добавить java-скрипт в для форума на Discourse?[/caption] Если нужно более детальное описание - напишите мне, добавлю пошаговую инструкцию.

  • 10 Сентября 2018 » [таблицы] Средства доверенной загрузки, сертифицированные по новым требованиям
    См. также: Межсетевые экраны, сертифицированные по новым требованиям Антивирусы, сертифицированные по новым требованиям Сертифицированные системы обнаружения вторжений в 2022 году

  • 07 Сентября 2018 » TOP самых полезных ИБ-блогов по версии Яндекса
    В конце августа Яндекс объявил, что рассчитываемый для web-ресурсов показатель тИЦ (тематический индекс цитирования) меняется на новый параметр: ИКС - индекс качества сайта.

  • 29 Августа 2018 » [HowTo] Как перезапустить стартовый мастер настройки Discourse?
    Перезапустить стартовый мастер настройки Discourse может потребоваться, например, для того, чтобы быстро заменить иконки и основной логотип форума, поменять его название или описание, уточнить контактные данные или сменить язык сообщества по умолчанию. Выполнять все эти действия через командную строку бывает затруднительно. Процедура же рестарта мастера настройки, в ходе которого все эти данные легко можно поменять, проста до безобразия - надо лишь в браузере ввести: <имя вашего сайта>/wizard Например так: https://forum.zlonov.ru/wizard При этом нужно быть авторизованным под учётной записью с соответствующими административными правами. [caption id=”attachment_71075” align=”aligncenter” width=”626”] Discourse initial wizard[/caption]    

  • 29 Августа 2018 » Обязательно ли подписывать в банке всё, что предлагают?
    Недавно открывал дебетовую карту в одном из далеко не самых маленьких банков. Название его не привожу, так как особых претензий к банку не имею, да и не думаю, что то, с чем я столкнулся, является таким уж уникальным явлением, не встречающимся в других банках.

  • 27 Августа 2018 » Типичные выявляемые ФСТЭК нарушения со стороны лицензиатов в 2017 году
    Обзор итогов проверок ФСТЭК России в 2017 году

  • 24 Августа 2018 » VPNFilter. Факты и ссылки
    Нашумевшему в конце весны вредоносному программному обеспечению VPNFilter сотрудники Cisco Talos ещё 23 мая дали подробное техническое описание, которое потом в различных интерпретациях и, обрастая по пути дополнительными деталями, разошлось по профильным (и не только) СМИ. Дабы каждый раз не выискивать детали по англоязычным и (чаще - переводным) русскоязычным источникам, посвятил VPNFilter одну из своих любимых рубрик: Факты и ссылки. Что такое VPNFilter? VPNFilter - это вредоносное программное обеспечение, заразившее более полумиллиона сетевых устройтв (прежде всего - роутеров) в более чем 50 странах. VPNFilter имеет модульную архитектуру, успешно переживает перезагрузку заражённого устройства и может осуществлять сбор конфиденциальной информаци, а также искажение сетевого трафика с различными деструктивными целями. Что делает VPNFilter? VPNFilter может собирать конфиденциальную информацию (например, пароли) и вмешиваться в сетевой трафик, проходящий через зараженный роутер. В частности, в трафик (гипотетически) может добавляться вредоносное ПО, что может привести к компрометации компьютеров и других устройств, подключающихся к заражённому роутеру. Также VPNFilter может блокировать трафик и даже делать роутер неработоспособным. Почему VPNFilter опасен? Так как весь трафик всех домашних (офисных) устройств проходит через роутер, то при его взломе вся передаваемая конфиденциальная информация попадает в зону риска, под угрозой оказываются также и сами подключаемые устройства. Наконец, находящееся под управлением злоумышленников устройство может быть использовано как площадка для проведения атак на другие цели. При этом с точки зрения атакуемого угроза будет исходить от владельца заражённого устройства, а не от реального злоумышленника. Несёт ли VPNFilter угрозы АСУ ТП? Как это ни странно, но, несмотря на ориентацию VPNFilter на модели для дома и малых офисов, его авторы проявляют особый интерес к промышленным системам управления (SCADA) - в составе VPNFilter есть отдельный модуль, предназначенный для перехвата коммуникационного протокола Modbus(широко применяется в промышленности для организации связи между электронными устройствами). Помогает ли перезагрузка от VPNFilter? VPNFilter может пережить перезагрузку маршрутизатора (подробнее - ниже). Как действует VPNFilter (подробнее)? VPNFilter, судя по всему, эксплуатирует известные уязвимости, имеющиеся в устаревших версиях прошивок сетевых устройств. В силу модульности этого вредоносного ПО процесс заражения разбивается на несколько этапов: Этап 1. Устанавливается Модуль 1, устойчивый к перезагрузке устройства. Основная цель первого этапа состоит в том, чтобы получить постоянный плацдарм и запустить развертывание вредоносного Модуля 2. На этом этапе VPNFilter определяет доступные IP-адреса текущего сервера управления для скачивания Модуля 2 (и 3). При этом используются множественные избыточные механизмы, делающие это вредоносное ПО чрезвычайно надежным и способным справляться с непредсказуемыми изменениями инфраструктуры управления. Этап 2. Скачивается и устанавливается Модуль 2, позволяющий злоумышленникам удалённо осуществлять сбор файлов, выполнять команды и управлять заражённым устройством. Модуль 2 не переживает перезагрузку устройства. Этап 3. Модуль 3 (также не переживает перезагрузку) состоит из различных дополняющих VPNFilter плагинов, предназначенных для выполнения определенных задач: ps - плагин, позволяющий перехватывать сетевые пакеты и выявлять некоторые типы трафика: в частности, TCP/IP-пакеты Modbus; tor - плагин отвечает за взаимодействие VPNFilter со своим центром управления через сеть TOR; ssler - плагин для перехвата и изменения веб-трафика на 80 порту с помощью атак типа «человек в середине», также умеет принудительно «понижать» HTTPS до HTTP; dstr - плагин позволяет перезаписывать критическую часть прошивки устройства и давать команду на его перезагрузку, делая таким образом устройство непригодным для использования. После перезагрузки роутера запускается только первый модуль, а второй и третий модули теряются и должны быть скачаны заново. Именно по этой причине можно встретить рекомендации по перезагрузке устройств в качестве способа борьбы. Тем не менее, без дополнительных шагов (см.ниже) только перезагрузка может не помочь. Какие устройства уязвимы? VPNFilter способен заражать большое количество различных роутеров (маршрутизаторов) и NAS-устройств (сервера для хранения данных на файловом уровне). Как минимум в опасности модели роутеров для дома и малого офиса следующих производителей: Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U) D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N) Huawei (HG8245) Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N) MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5) Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50) TP-Link (R600VPN, TL-WR741ND, TL-WR841N) Ubiquiti (NSM2, PBE M5) Upvel (неизвестные модели) ZTE (ZXHN H108N) Уязвимые NAS-устройства: QNAP (TS251, TS439 Pro и другие с установленным ПО QTS) Начальный червь, устанавливающий Модуль 1, может атаковать устройства с прошивками на основе Busybox и Embedded Linux (специализированная версия, адаптированная для использования в промышленных и других устройствах), скомпилированными под определенные типы процессоров. Сервера и рабочие станции на не-Embedded Linux этим червём не поражаются. Как быстро проверить свой роутер? Можно воспользоваться бесплатной онлайн утилитой от Symantec: http://www.symantec.com/filtercheck/ Естественно, во время проверки надо быть подключенным к сети Интернет через проверяемый роутер. Проверка роутера на VPNFilter Утилита, правда, проверяет только наличие одной из компонент VPNFilter - плагина ssler, но зато делает это быстро. Как защитить себя от VPNFilter? Перезагрузить маршрутизатор. Это может временно нарушить работу вредоносного ПО (его модулей 2 и 3) и потенциально может помочь идентифицировать уже зараженные устройства. По возможности отключить удалённое администрированиеустройства в соответствии с эксплуатационной документацией. Изменить пароль администратора и других используемых учётных записей на новый надёжный и уникальный пароль. Включить шифрование, если устройство позволяет это сделать. Обновить прошивку до последней доступной версии. Для скачивания свежей прошивки разумно обратиться на сайт производителя и там же проверить доступные рекомедации (ссылки на рекомендации некоторых производителей ниже). Что делать в случае заражения? Symantec в случае уверенности в заражении рекомендует следующие шаги: Сохранить текущую конфигурацию устройства и сделать сброс к заводским настройкам (hard reset) в соответствии с документацией на устройство. Выключить и перезагрузить устройство. Из-за особенностей VPNFilter простая перезагрузка без сброса к заводским настройкам может не помочь (см. выше). Отключить устройство от сети Интернет (по возможности) и изменить пароль администратора, установленный по умолчанию. Установить свежие патчи и последню версию прошивки в соответствии с документацией на устройство и рекомендациями производителя. Кто стоит за VPNFilter? По мнению представителей ФБР VPNFilter разработан российской группировкой Fancy Bear, считающейся также причастной к атаке на штаб демократов в ходе выборов США в 2016 году. Материалы по теме Рекомендации производителей Linksys: https://community.linksys.com/t5/Wireless-Routers/VPNFilter-Malware-Update/td-p/1315372 Mikrotik: https://forum.mikrotik.com/viewtopic.php?t=134776 Netgear: https://kb.netgear.com/000058814/Security-Advisory-for-VPNFilter-Malware-on-Some-Routers QNAP: https://www.qnap.com/en-us/security-advisory/NAS-201805-24 TP-Link: https://www.tp-link.com/us/faq-2212.html Русскоязычные материалы [перевод] Безопасность начинается с домашнего машрутизатора, ХабраХабр Ботнет VPNFilter все еще активен и ищет новые устройства для заражения, Хакер.ру Англоязычные материалы New VPNFilter malware targets at least 500K networking devices worldwide, Cisco Talos VPNFilter Update - VPNFilter exploits endpoints, targets new devices, Cisco Talos VPNFilter: New Router Malware with Destructive Capabilities, Symantec VPNFilter malware now targeting even more router brands. How to check if you’re affected, Symantec Reboot Your Router to remove VPNFilter? Why It’s Not Enough, BleepingComputer VPNFilter Can Also Infect ASUS, D-Link, Huawei, Ubiquiti, UPVEL, and ZTE Devices, BleepingComputer Exclusive: FBI Seizes Control of Russian Botnet, Daily Beast Hackers infect 500,000 consumer routers all over the world with malware, Ars Technica

  • 22 Августа 2018 » [таблицы] Системы обнаружения вторжений, сертифицированные по новым требованиям
    Добавлено 18.02.2022 Свежий обзор сертифицированных СОВ: Сертифицированные системы обнаружения вторжений в 2022 году См. также: Межсетевые экраны, сертифицированные по новым требованиям Антивирусы, сертифицированные по новым требованиям Средства доверенной загрузки, сертифицированные по новым требованиям Важно! Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.