Свежие посты   По годам   По датам
  • 17 Сентября 2015 » (уязвимость) Schneider патчит баг незашифрованных учетных данных в системах автоматизации зданий
    Известный производитель автоматизированных систем управления — компания Sсhneider Electric опубликовала новую прошивку для своей системы автоматизации зданий StruxureWare Building Expert, в которой закрыта уязвимость, эксплуатируемая удаленно. Исследователь Артем Курбатов обнаружил, что система передает учетные данные пользователя между сервером и клиентом в открытом (незашифрованном) виде. В оповещении от ICS-CERT говорится, что данная уязвимость не была эксплуатирована гласно. «Успешный эксплойт позволит злоумышленнику получить учетные данные пользователя», — пишет Schneider в своем оповещении. По данным Schneider Electric, эта система автоматизации зданий используется во всем мире, по большей части в коммерческих зданиях. StruxureWare Building Expert описывается как многоцелевое устройство управления, которое отслеживает работу систем вентиляции, отопления и кондиционирования, систем освещения и измерительных систем, прежде всего для контроля за расходом энергии. Уязвимость содержат версии до 2.15, по данным ICS-CERT, причем уязвимость получила CVSS-балл 10.0. Менеджерам следует обновить MPM до версии 2.15 или выше. Schneider Electric вплотную занялась закрытием дыр в безопасности с начала осени. 3 сентября компания выпустила оповещение, в котором говорится о закрытии ряда уязвимостей в Modicon M340 PLC Station P34. Об этих уязвимостях сообщил исследователь Хуан Франсиско Боливар (Juan Francisco Bolivar), также в июле о них сообщил и рассказал на конференции DEF CON независимый исследователь Адитья К. Соод (Aditya K. Sood). Продукты Modicon BMXNOC0401, BMXNOE0100, BMXNOE0110, BMXNOE0110H, BMXNOR0200H, BMXP342020, BMXP342020H, BMXP342030, BMXP3420302, BMXP3420302H и BMXP342030H содержали уязвимости, с помощью которых можно было заставить браузер перенаправлять пользователя на удаленный файл или исполняемый JavaScript, хранящийся удаленно. Источник </div> </div>

  • 17 Сентября 2015 » Действительный список блогеров по ИБ +опрос
    Актуализировал на сайте список личных блогов, связанных с темой информационной безопасности. В прошлый раз (в конце февраля) исключал блоги без свежих записей в 2015 году, но к сентябрю многие хотя бы один пост да написали, поэтому список стал существенно больше - получилось 54 блогера. Полный список доступен по ссылке: https://zlonov.ru/blogs/ Если заметите неточности или будут дополнения - сообщайте в комментариях. [caption id=”attachment_7559” align=”aligncenter” width=”650”] Список действующих личных блогов по информационнной безопасности[/caption] Конечно, не все мы пишем только и исключительно про информационную безопасность, но так как я не считаю данный перечень каким-то серьёзным рейтингом или поводом для аналитических выкладок, то и критерии включения/невключения устанавливаю довольно нежёсткие. Число подписчиков в сервисе Feedly всё же для ориентира оставил, хотя на собственном примере убедился, что он не является абсолютным показателем, так как сильно зависит от порой меняющегося механизма подсчёта в самом сервисе Feedly - например, для доменных зон .RU и .COM у одного и того же блога в BlogSpot результаты разнятся. Число подписчиков резко меняется при каких-то настройках в механизме выдачи RSS-ленты, а у блогов, бездействующих уже несколько лет, продолжает расти. Вся эта нестрогость не позволяет использовать данный показатель как действительно единый параметр оценки, как бы того ни хотелось любителям аналитики и красивых диаграмм, к коим отношу и себя. Наверное, блог, как и любой другой сайт, логичнее всего оценивать по числу посещений: если из двух блогеров один пишет в два раза чаще другого, то и читают его больше, даже если число подписчиков у них одинаковое. Как я понимаю, подобный принцип использует как раз агрегатор блогов на SecurityLab для выведения раздела “Выдающийся блогер”. Во всяком случае, ротация там происходит регулярно. [caption id=”attachment_7560” align=”aligncenter” width=”650”] Выдающиеся блогеры на SecurityLab[/caption] Поэтому мне кажется самым правильным делать рейтинг блогов на основе публичных данных сервиса статистики. Но для этого придётся выбрать и поставить всем желающим попасть в этот рейтинг один и тот же счётчик. Это важно, потому что у меня, например, каждый из рекомендованных Роскомнадзором, показывает что-то своё. Возможно, у вас есть другие соображения. Например, вы считаете, что этот рейтинг вообще не нужен. Предлагаю высказаться и принять участие в опросе, форма которого размещена по этой ссылке.

  • 16 Сентября 2015 » (инцидент) США обвинили Россию в хакерской атаке на американские системы управления промышленностью
    Российские хакеры проникли в американские системы управления промышленностью, которые работают с критически важными объектами инфраструктуры, в частности, с электросетями, заявил директор национальной разведки США Джеймс Клэппер.

  • 16 Сентября 2015 » Solar Security и её DLP Solar Dozor
    Созданная системным интегратором Инфосистемы Джет компания-вендор Solar Security (Солар Секьюрити) младше своей собственной DLP системы Solar Dozor (ранее Дозор-Джет) почти на 15 лет. Картинка-иллюстрация к посту в тему =) Вчера на пресс-конференции была представлена обновлённая версия этого продукта - Solar Dozor 6.0. По словам представителей Солар Секьюрити предыдущие версии продукта установлены более чем у 300 пользователей (в официальном пресс-релизе упоминается более 100 инсталляций). [caption id=”attachment_7543” align=”aligncenter” width=”550”] Пресс-коференция Solar Dozor 6.0[/caption] Помимо DLP в портфеле у Солар Секьюрити - аналитическая система inView, IDM-решение inRights и ещё один продукт, который будет представлен широкой общественности чуть позже - в октябре. Кстати, обещают, что это будет не SIEM и не WAF, что уже интригует =) MSSP-провайдер JSOC также предан в ведение Солар Секьюрити, так что теперь его предлагается расшифровывать как Jedi Security Operation Center (вместо Jet…). Среди клиентов JSOC в настоящее время заказчики в таких отраслях как энергетика, банки, крупные процессинговые центры. Компания в принципе делает ставку на узкий сегмент решений мониторинга и управления ИБ, так как опыт команды (материнского системного интегратора) по анализу защищённости систем безопасности клиентов показывает, что в 93% случаев, несмотря на имеющиеся средства защиты, попытки проникновения оказываются успешными. Из этого эмпирического опыта логично делается вывод о том, что управление безопасностью является ключевым элементом системы обеспечения безопасности в целом. Суть же подхода к DLP состоит в том, что предлагается перейти от борьбы с утечками (далеко не каждая утечка информации реально стоит тех денег, которые просят на борьбу с ней DLP-вендоры) к борьбе с внутренним мошенничеством (или фродом). Два-три инцидента, выявленных с помощью DLP и средств контроля коммуникаций, способны окупить все затраты на такую систему. Для успешного решения этой задачи система должна иметь возможность ведения удобного архива с быстрым поиском и обладать широкими аналитическими возможностями. На примере выявления “откатных схем”, которые трудно выявить мониторингом по ключевым словам, но можно детектировать, например, по изменению тональности или каналов общения, была показана также и необходимость наличия средств выявления косвенных признаков мошенничества. Заявлено, что в Solar Dozor 6.0 весь этот инструментарий (архив, аналитика, выявление косвенных признаков) присутствует. Кроме этого в решении есть: ”группы риска” (целые отделы можно ставить на особый контроль), “карма” сотрудников (множество мелких нарушений, каждое из которых малозначительно, в итоге приведут к снижению уровня доверия к сотруднику), досье сотрудников и отделов, профилирование действий пользователей с контролем аномальных отклонений, каталог правил выявления мошеннических схем и реагирования на них с отраслевой спецификой и многое другое. [caption id=”attachment_7541” align=”aligncenter” width=”500”] Что нового в Solar Dozor 6.0[/caption] Вообще, трудно спорить с тем, что фактически функционал современных DLP систем в плане контроля каналов уже почти одинаков и вопрос стоит не столько в выявлении утечек, а в том, что с этим делать дальше, как довести до логического конца каждый конкретный инцидент? Продемонстрированные несколько кейсов были достаточно убедительны, чтобы показать, что Solar Dozor существенно эту задачу упрощает. Интерфейс системы красив, масштабирование для экранов от планшета до плазмы поддерживается. Разработка велась с сентября прошлого года, а в качестве приоритета было выбрано максимальное удобство типовых ежедневных операций, которые были определены в ходе анализа реальных сценариев использования продукта у заказчиков. [caption id=”attachment_7542” align=”aligncenter” width=”550”] Интерфейс Solar Dozor 6.0[/caption] В качестве важного конкурентного преимущества отдельным поводом для гордости называется сверхбыстрый поиск за счёт предварительной индексации основных поисковых атрибутов. По внутренним оценкам до 85% запросов будут отрабатываться именно таким быстрым поиском. За счёт этого с системой можно работать в режиме реального времени, а не по принципу: сформировал запрос - подождал полминуты - получил результат - скорректировал запрос - опять подождал - … и т.д. Кстати, демонстрация реально работающей версии системы, а не красивых скриншотов с объяснениями “на пальцах” лично мне особенно понравилась. Честно говоря, не являюсь глубоким экспертом в DLP системах, но всё показанное было настолько просто, логично и удобно, что с некоторым удивлением услышал отрицательный ответ от более подкованных коллег на свой вопрос: “А что, у других разве этого нет?”

  • 15 Сентября 2015 » Итоги совместного конкурса с ИнфоВотч
    Объявленный на прошлой неделе конкурс, призами в котором были бесплатные билеты на онлайн-трансляцию конференции BIS Summit 2015, завершён. Напомню, по условиям конкурса нужно было в открытых источниках (пресс-релизы, истории успеха, слайды в презентациях, статьи и интервью в СМИ, итоговые протоколы на сайтах закупок, посты сотрудников в соцсетях и т.п.) найти информацию о клиентах ГК ИнфоВотч и в комментарии к посту привести название клиента и подтверждающую ссылку. Почётное третье место занял Evgeny Voropaev, приведший ссылки на статьи TAdviser с перечнем реализованных проектов. Второе место у Игоря Агурьянова, который предложил отличный вариант: поиск через опыт в резюме на портале для поиска работы - человек сам пишет, где он работал и что внедрял =) Безоговорочным лидером же стал Алексей Новиков, использовавший и сайт госзакупок и поиск по презентациям на SlideShare, а также нашедший скрытую (закомментированную в коде страницы) информацию о клиентах на сайте самой компании ИнфоВотч. До конца дня вышлю победителям промо-коды для получения бесплатных билетов. Всем спасибо за участие!

  • 15 Сентября 2015 » Прогноз Gartner для мирового рынка ИБ
    Аналитическая компания Gartner по итогам второго квартала 2015 года выпустила квартальное обновление своего отчёта Forecast Analysis: Information Security, Worldwide. Отчёт платный ($1295), но основные выводы (в виде заголовков разделов) доступны публично и достаточно любопытны. Так, по мнению аналитиков Gartner мировой рынок информационной безопасности будет увеличиваться с прогнозным совокупным среднегодовым темпом роста (CAGR) 7,4% до 2019 года. Важнейшими точками потенциального роста признаются: тестирование безопасности (security testing), аутсорсинг услуг и управление идентификацией и доступом (Identity Access Management - IAM), а в качестве причин для роста затрат на информационную безопасность отмечены: правительственные инициативы, включая усиление законодательных требований, а также ряд громких взломов и утечек. Краткие выводы по пунктам (перевод местами вольный и наверняка не лишён неточностей) ниже, дополненные моими комментариями по ситуации в России. В целом рынок информационной безопасности будет расти на 7,4% в год до 2019 года. (Overall Information Security Market Is Forecast to Grow at 7.4% CAGR Through 2019) Похожий рост показал в 2014 году рынок ИБ и в России - 8% по информации TAdviser. Слабые перспективы у рынка межсетевых экранов/VPN начиная с 2105 года и далее. (Weaker Outlook for VPN/Firewall Spending From 2015 Onward) В России стагнация этого сегмента сомнительна, в 2013/12 гг наблюдался устойчивый рост, например. Коммодитизация (переход продуктов из марочной категории в категорию рядовых продуктов) влечёт за собой снижение общего прогноза по рынку безопасности. (Commoditization Drives a Reduction in the Overall Security Forecast) В России подобные явления массового характера на мой взгляд пока не приобрели, уровень "элитарности" потребляемых решений и услуг определяется степенью зрелости процессов управления ИБ в компаниях, а здесь кардинальных перемен в последние годы не замечено. Пересмотрен рост сегмента пользовательского ПО информационной безопасности из-за изменений и его неопределённой динамики. (Consumer Security Software Growth Moderated Due to Changing and Uncertain Segment Dynamics) Трудно сказать, что в России можно отнести к этому сегменту - домашние антивирусы и приложения-шифровалки фотографий и контактов для смартфонов? Усиление законодательных требований будет причиной увеличения затрат на безопасность в странах различных регионов. (Increased Legislation Continues to Be a Driver for Security Spending in Countries Across Different Regions) В России этот драйвер роста можно смело включать практически в любой прогноз: когда есть требования, бюджеты выделяются гораздо охотнее. Хорошие перспективы у сегмента консалтинга в развивающихся странах Азии и Тихого океана, поддерживаемые улучшением экономики Индии на фоне других драйверов рынка. (Stronger Outlook for Security Consulting in Emerging Asia/Pacific for 2015 Supported by Improved Indian Economy as a Backdrop to Other Security Market Drivers) Замедление экономики в сравнении с ожидаемым ростом даёт смешанной прогноз для зрелых рынков Азии, Тихого океана и Китая. (Slowing Economy Versus Expected Growth in Security Services Creates Mixed Outlook in the Mature Asia/Pacific Region and China) Последние два пункта к России прямого отношения не имеют, а вот приведённые в начале поста рыночные ниши, являющиеся основными точками потенциального роста - security testing, аутсорсинг услуг ИБ и IAM - активно занимаются в России игроками, причём не первый год. Возможно, в ближайшее время и здесь они начнут приносить существенный доход. Не всё же межсетевые экраны с антивирусами закупать.

  • 14 Сентября 2015 » (инцидент) За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
    В ведомстве не раскрывают информацию об объеме данных, который был скомпрометирован в результате кибернападений.

  • 14 Сентября 2015 » (уязвимость) В ICS-продукции компании Yokogawa обнаружены уязвимости
    Почти в 20 различных продуктах, производимых японской компанией Yokogawa, присутствуют уязвимости переполнения буфера, способные приводить к удаленному исполнению кода. Багам подвержен длинный список продукции, используемой в различных отраслях промышленности по всему миру. Yokogawa в основном производит автоматизированные системы управления производством, системы организации производства, системы анализа событий и т.п. К их числу относится и серия систем управления Centum на базе Windows, а также ProSafe-RS, Exaopc, Exaquantum и многие другие. Все уязвимости, присутствующие в продукции, являются багами переполнения стека, однако они отличаются друг от друга уровнем своей опасности. Одна из них способна приводить к удаленному исполнению кода, в то время как две другие могут привести к отказу в обслуживании. «Эксплойт этих уязвимостей может приводить к состоянию отказа в обслуживании, препятствующему обмену данными внутри сети, а также позволяет исполнять произвольный код», — говорится в бюллетене ICS-CERT. К числу уязвимых продуктов относятся: Серия CENTUM: CENTUM CS 1000 (R3.08.70 и ниже); CENTUM CS 3000 (R3.09.50 и ниже); CENTUM CS 3000 Entry (R3.09.50 и ниже); CENTUM VP (R5.04.20 и ниже); CENTUM VP Entry (R5.04.20 и ниже); ProSafe-RS (R3.02.10 и ниже); Exaopc (R3.72.00 и ниже); Exaquantum (R2.85.00 и ниже); Exaquantum/Batch (R2.50.30 и ниже); Exapilot (R3.96.10 и ниже); Exaplog (R3.40.00 и ниже); Exasmoc (R4.03.20 и ниже); Exarqe (R4.03.20 и ниже); Field Wireless Device OPC Server (R2.01.02 и ниже); PRM (R3.12.00 и ниже); STARDOM VDS (R7.30.01 и ниже); STARDOM OPC Server для Windows (R3.40 и ниже); FAST/TOOLS (R10.01 и ниже); B/M9000CS (R5.05.01 и ниже); B/M9000 VP (R7.03.04 и ниже); FieldMate (R1.01 и R1.02). «Если процессу, поддерживающему обмен данными, передать специально созданный пакет, то обмен данными будет нарушен. А затем процесс, использующий функцию обмена данными, станет недоступен. Эксплойт этой уязвимости может позволить удаленному атакующему исполнять произвольный код», — говорится в бюллетене Yokogawa. Yokogawa уже разработала патчи для уязвимой продукции, однако некоторых из них еще нет в открытом доступе. Источник

  • 14 Сентября 2015 » Check Point Security Day 2015
    В прошлый четверг компания Check Point провела в Москве очередное ежегодное мероприятие - Check Point Security Day. Компания УЦСБ выступила спонсором мероприятия и на своём стенде представляла совместное решение для обеспечения безопасности промышленных систем автоматизации и управления: связку комплекса DATAPK и шлюзов безопасности Check Point в защищённом исполнении. В качестве примера объекта защиты выступала действующая модель автопарковочного комплекса, которая за последние полгода побывала уже, наверное, больше, чем в десятке городов по всей России. Постоянный интерес к стенду со стороны участников в итоге не позволил мне даже послушать хотя бы один доклад, поэтому могу только порекомендовать почитать отзыв Игоря Агурьянова, который описал некоторые из представленных Check Point технологий. Посетителей было много - несколько сотен, а судя по составу участников, организаторы к процессу приглашений подошли очень ответственно. Тематика ИБ АСУ ТП, конечна, была близка далеко не всем, но УЦСБ, как интегратор, только этой темой и не ограничивается, так что поговорить было о чём со всеми, а автопарковке спасибо за привлечение внимания! Кстати, в этот раз стенд был представлен в своей расширенной версии, поэтому можно было поучаствовать в конкурсе, целью которого было узнать пароль оператора парковочного комплекса и “угнать” понравившийся автомобиль. К чести посетителей можно сказать, что к концу дня гараж брендированных машинок практически опустел. [caption id=”attachment_7487” align=”aligncenter” width=”500”] Стенд УЦСБ на Check Point Security Day (за полчаса до начала регистрации)[/caption] [caption id=”attachment_7488” align=”aligncenter” width=”500”] Игра в хакеров на стенде УЦСБ[/caption] [caption id=”attachment_7489” align=”aligncenter” width=”500”] DATAPK и Check Point - братья навек =)[/caption] Check Point и их партнёрам IDC спасибо за качественную организацию, коллегам из УЦСБ - за слаженную работу на стенде, а всем посетителям - за внимание к представленным решениям и живой интерес. Коллег из дружественных компаний тоже был рад видеть =) Презентации на момент публикации поста ещё не выложены, но, судя по архиву прошлых лет, ссылка будет такой: http://idcrussia.com/ru/events/62142-check-point-security-day-2015/55-proceedings

  • 14 Сентября 2015 » (инцидент) В аэропорту Внуково используют дефолтные пароли роутеров
    Проходил второй час моего ожидания до рейса Москва-Франкфурт-на-Майне во Внуково, со мной был мой ноутбук, который я подключил к публичному Wi-Fi аэропорта. Устав от музыки и фильмов я решил пощупать локальную сеть на предмет уязвимостей и возможных багов.