Свежие посты   По годам   По датам
  • 08 Октября 2015 » (инцидент) Иранские киберпреступники атакуют жертв с помощью LinkedIn
    Используя методы социальной инженерии, злоумышленники похищают у жертв конфиденциальную информацию.

  • 07 Октября 2015 » [статья] Специализированные межсетевые экраны для АСУ ТП: нюансы применения
    В журнале Защита информации. INSIDE №4’2015 вышла моя статья про специализированные межсетевые экраны для АСУ ТП и нюансы их применения. Конкретные продукты в статье не упоминаются, но ранее делал обзор решений для ИБ АСУ ТП, где производители и модели перечислены: ИБ решения для АСУ ТП. Часть 1. ИБ решения для АСУ ТП. Часть 2. Актуализируемая версия презентации со всеми решениями доступна здесь: ИБ решения для АСУ ТП. В ближайшее время опубликую ещё одну статью про аудит информационной безопасности, точнее - про предпосылки его проведения. Специализированные межсетевые экраны для АСУ ТП: нюансы применения from Alexey Komarov Ещё больше материалов по вопросам информационной безопасности доступны в соответствующем разделе сайта: http://ZLONOV.ru/ics-security/ - аналитика, статистика, подборка публикаций из СМИ про выявленные уязвимости и произошедшие инциденты, а так же многое другое. Изображение

  • 06 Октября 2015 » (аналитика) Предприятия атомной энергетики не думают о кибербезопасности
     

  • 30 Сентября 2015 » Секция ИБ КВО на InfoSecurity Russia 2015
    На проходившей на прошлой неделе выставке InfoSecurity Russia 2015 помимо ставшего уже привычным общением с коллегами “по цеху” (Лица те же, визитки иногда другие (с)) отдельным пунктом поставил себе в повестку посещение секции Информационная безопасность критически важных объектов. К слову, стратегически верным было решение прийти заранее и занять место, так как небольшое помещение, хоть его и трудно было найти (из-за путаницы с табличками), забилось практически сразу. [caption id=”attachment_7615” align=”aligncenter” width=”500”] Людей было много[/caption] [caption id=”attachment_7616” align=”aligncenter” width=”500”] Зал B в зале D[/caption] Состав секции по числу выступавших получился довольно любопытным: один заказчик (ЕВРАЗ), один независимый эксперт, один вендор (НТБ) и целых пять(!) интеграторов. Глядя на такой состав, можно предположить, что готовых специфических продуктов для ИБ АСУ ТП пока не так много, заказчиков, проделавших значимую работу и готовых делиться опытом - тоже, зато в достатке интеграторов, интересующихся тематикой и предлагающих свои услуги =) Похоже, на правду, в принципе. Про решения для контроля привилегированных пользователей (то, про что был доклад НТБ) надо писать отдельно, равно как и про их применимость именно в АСУ ТП, доклад независимого эксперта был интересен, но как-то, по моему мнению, слишком оторван от реалий, а вот выступление Андрея Нуйкина из ЕВРАЗ было содержательным и сугубо по делу. Особенно интересна была часть ответов на вопросы, когда Андрей делился своим опытом и рассказывал про те подходы, которые они уже опробовали и которые только планируют внедрить. Такой трезвый взгляд на действительные проблемы и сложности без маркетинговой шелухи. Коллег из компаний интеграторов (Инфосистемы Джет, A-security, ДиалогНаука, Элвис-Плюс, АМТ-ГРУП) тоже послушать было интересно и, как справедливо отметил в своём докладе Даниил Тамеев, общий уровень экспертизы существенно вырос. До сих пор хорошо помню Технико-коммерческое предложение одного интегратора на создание комплексной системы защиты информации в АСУ ТП, которое представляло собой просто чуть переделанный шаблон ТКП на создание системы защиты персональных данных. Сейчас такого нет и это приятно. Коллеги освещали уже более узкие вопросы, чтобы не повторяться - примеры из опыта реализации проектов, нюансы построения систем защиты и т.п. С самой секции, да и в целом из трёхдневной программы, на сайте организаторов доступны далеко не все презентации, но что-то всё-таки было выложено. Доступ, правда, организован крайне неудобно - кто пробовал в личном кабинете что-то скачать, меня поймёт. Поэтому для простоты доступа все материалы скопировал в блокнот Evernote и сделал его публичным: https://www.evernote.com/pub/zlonov/infosecurityrussia2015 Получилось довольно удобно: можно даже искать по словам. Организаторам больших конференций и выставок на заметку - удобный доступ к материалам после завершения мероприятия продлит у участников послевкусие от него (считай - повысит лояльность), привлечёт тех, кто на самом мероприятии не побывал и хорошо скажется на посещаемости сайта. Мне пока из удобств встречалась разве что возможность скачать все презентации одним архивом. В заключение - две фотографии 2014 и 2015 года. Ракурсы и масштабы разные, конечно, но прошлогодняя кажется больше. Впрочем, такое кажется почти каждый год =) [caption id=”attachment_7618” align=”aligncenter” width=”500”] Вид на выставочный зал Information Security 2015[/caption] [caption id=”attachment_7619” align=”aligncenter” width=”667”] Вид на выставочный зал Information Security 2014[/caption] По теме выставок можно ещё почитать: Краткий фотоотчёт с InfoSecurity Russia 2014 Минус три тысячи сто посетителей в 2013 году Препарируем InfoSecurity Счетоводы 2011: INFOBEZ-EXPO vs InfoSecurity По тематике ИБ АСУ ТП на сайте создан отдельный раздел: https://zlonov.ru/ics-security/

  • 30 Сентября 2015 » (уязвимость) В нескольких SCADA-системах найдены бреши
    Центр ICS-CERT опубликовал серию бюллетеней о наличии нескольких уязвимостей в SCADA-системах от Resource Data Management, IBC Solar и EasyIO.

  • 29 Сентября 2015 » (уязвимость) Тысячи приборов в больницах уязвимы для киберпреступников
    Множество медицинских систем доступны хакерам онлайн, предупреждает The Register. Эксперты по безопасности Скотт Эрвен (Scott Erven) и Марк Коллао (Mark Collao) установили, что в одной из очень крупных американских медорганизаций, где работают 12 тыс. сотрудников и 3 тыс. врачей, свыше 68 тыс. систем находятся в онлайне. В частности, хакеры могут подключиться к 21 прибору, связанному с анестезией, 488 кардиологическим системам, 67 системам ядерной медицины, 133 инфузионным аппаратам, 31 кардиостимулятору, 97 МРТ-сканерам. Все это было обнаружено через поисковую систему для рынка интернет-вещей Shodan. У злоумышленников есть возможности красть данные и получать сведения о частной жизни пациентов, подчеркивают исследователи. Представитель консалтинговой компании NeoHapsis добавляет, что хакеры могут отправить вредоносное письмо сотруднику с доступом к медицинским аппаратам, чтобы инфицировать приборы. По словам эксперта, практически все девайсы до сих пор работают на Windows XP и обычно не защищены антивирусами, что делает их критически уязвимыми. К тому же на некоторых системах стоят простейшие пароли. Вдобавок исследователи продемонстрировали 24 успешных использования уязвимости MS08-067 для атаки на медицинские системы, запустив исполнение удаленного кода компьютерного червя Conficker, — эпидемия инфицирования Windows XP этим зловредом пришлась еще на 2008–2009 годы. Ко всему прочему эксперты имитировали свыше 55 тыс. удачных SSH-атак и заходов через веб с помощью логинов, осуществив 299 загрузок вредоносного ПО. На днях также стало известно, что компании, работающие в сфере здравоохранения, в три раза чаще сталкиваются с кражей данных, чем другие предприятия. Отрасль переживает на 340% больше инцидентов и нападений киберпреступников, чем остальные. Здравоохранение на 400% чаще страдает от передовых вредоносных программ, на 450% — от Cryptowall и на 75% больше получает фишинговых писем. Источник

  • 25 Сентября 2015 » Развиртуализация Facebook-группы Кибербезопасность АСУ ТП
    Для Facebook-группы Кибербезопасность АСУ ТП вчера состоялось знаменательное событие - первая оффлайн встреча. Процентная представленность, конечно, не сказать, чтобы была очень высока - 7 человек из 392 участников. Но, тем не менее, важен прецедент и сам факт: люди, для которых проблема (кибер)информационной безопасности промышленных систем автоматизации и управления - не пустой звук, действительно существуют. Шуточный протокол первого заседания от Дмитрия Артёменкова: Разоблачение stuxnet. Блеск и нищета иранских атомных станций. Итог: разоблачили. Идеология или бизнес. Кто необходимей для продвижения кибербезопасности? Итог: консенсус не достигнут. Требуется повторное заседание. Технологические шины. Перспективы развития. Итог: перпективы развили. Защитные функции сургуча как средства от НСД в АСУ ТП. Итог: имеет право на жизнь. Гиннес, Килкиннен, Хайникен, Смитуикс и сидр Стронгбоу - счётчик вышел из строя. Продолжение следует…

  • 17 Сентября 2015 » (уязвимость) Schneider патчит баг незашифрованных учетных данных в системах автоматизации зданий
    Известный производитель автоматизированных систем управления — компания Sсhneider Electric опубликовала новую прошивку для своей системы автоматизации зданий StruxureWare Building Expert, в которой закрыта уязвимость, эксплуатируемая удаленно. Исследователь Артем Курбатов обнаружил, что система передает учетные данные пользователя между сервером и клиентом в открытом (незашифрованном) виде. В оповещении от ICS-CERT говорится, что данная уязвимость не была эксплуатирована гласно. «Успешный эксплойт позволит злоумышленнику получить учетные данные пользователя», — пишет Schneider в своем оповещении. По данным Schneider Electric, эта система автоматизации зданий используется во всем мире, по большей части в коммерческих зданиях. StruxureWare Building Expert описывается как многоцелевое устройство управления, которое отслеживает работу систем вентиляции, отопления и кондиционирования, систем освещения и измерительных систем, прежде всего для контроля за расходом энергии. Уязвимость содержат версии до 2.15, по данным ICS-CERT, причем уязвимость получила CVSS-балл 10.0. Менеджерам следует обновить MPM до версии 2.15 или выше. Schneider Electric вплотную занялась закрытием дыр в безопасности с начала осени. 3 сентября компания выпустила оповещение, в котором говорится о закрытии ряда уязвимостей в Modicon M340 PLC Station P34. Об этих уязвимостях сообщил исследователь Хуан Франсиско Боливар (Juan Francisco Bolivar), также в июле о них сообщил и рассказал на конференции DEF CON независимый исследователь Адитья К. Соод (Aditya K. Sood). Продукты Modicon BMXNOC0401, BMXNOE0100, BMXNOE0110, BMXNOE0110H, BMXNOR0200H, BMXP342020, BMXP342020H, BMXP342030, BMXP3420302, BMXP3420302H и BMXP342030H содержали уязвимости, с помощью которых можно было заставить браузер перенаправлять пользователя на удаленный файл или исполняемый JavaScript, хранящийся удаленно. Источник </div> </div>

  • 17 Сентября 2015 » Действительный список блогеров по ИБ +опрос
    Актуализировал на сайте список личных блогов, связанных с темой информационной безопасности. В прошлый раз (в конце февраля) исключал блоги без свежих записей в 2015 году, но к сентябрю многие хотя бы один пост да написали, поэтому список стал существенно больше - получилось 54 блогера. Полный список доступен по ссылке: https://zlonov.ru/blogs/ Если заметите неточности или будут дополнения - сообщайте в комментариях. [caption id=”attachment_7559” align=”aligncenter” width=”650”] Список действующих личных блогов по информационнной безопасности[/caption] Конечно, не все мы пишем только и исключительно про информационную безопасность, но так как я не считаю данный перечень каким-то серьёзным рейтингом или поводом для аналитических выкладок, то и критерии включения/невключения устанавливаю довольно нежёсткие. Число подписчиков в сервисе Feedly всё же для ориентира оставил, хотя на собственном примере убедился, что он не является абсолютным показателем, так как сильно зависит от порой меняющегося механизма подсчёта в самом сервисе Feedly - например, для доменных зон .RU и .COM у одного и того же блога в BlogSpot результаты разнятся. Число подписчиков резко меняется при каких-то настройках в механизме выдачи RSS-ленты, а у блогов, бездействующих уже несколько лет, продолжает расти. Вся эта нестрогость не позволяет использовать данный показатель как действительно единый параметр оценки, как бы того ни хотелось любителям аналитики и красивых диаграмм, к коим отношу и себя. Наверное, блог, как и любой другой сайт, логичнее всего оценивать по числу посещений: если из двух блогеров один пишет в два раза чаще другого, то и читают его больше, даже если число подписчиков у них одинаковое. Как я понимаю, подобный принцип использует как раз агрегатор блогов на SecurityLab для выведения раздела “Выдающийся блогер”. Во всяком случае, ротация там происходит регулярно. [caption id=”attachment_7560” align=”aligncenter” width=”650”] Выдающиеся блогеры на SecurityLab[/caption] Поэтому мне кажется самым правильным делать рейтинг блогов на основе публичных данных сервиса статистики. Но для этого придётся выбрать и поставить всем желающим попасть в этот рейтинг один и тот же счётчик. Это важно, потому что у меня, например, каждый из рекомендованных Роскомнадзором, показывает что-то своё. Возможно, у вас есть другие соображения. Например, вы считаете, что этот рейтинг вообще не нужен. Предлагаю высказаться и принять участие в опросе, форма которого размещена по этой ссылке.

  • 16 Сентября 2015 » (инцидент) США обвинили Россию в хакерской атаке на американские системы управления промышленностью
    Российские хакеры проникли в американские системы управления промышленностью, которые работают с критически важными объектами инфраструктуры, в частности, с электросетями, заявил директор национальной разведки США Джеймс Клэппер.