Свежие посты   По годам   По датам
  • 14 Сентября 2015 » (инцидент) За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
    В ведомстве не раскрывают информацию об объеме данных, который был скомпрометирован в результате кибернападений.

  • 14 Сентября 2015 » (уязвимость) В ICS-продукции компании Yokogawa обнаружены уязвимости
    Почти в 20 различных продуктах, производимых японской компанией Yokogawa, присутствуют уязвимости переполнения буфера, способные приводить к удаленному исполнению кода. Багам подвержен длинный список продукции, используемой в различных отраслях промышленности по всему миру. Yokogawa в основном производит автоматизированные системы управления производством, системы организации производства, системы анализа событий и т.п. К их числу относится и серия систем управления Centum на базе Windows, а также ProSafe-RS, Exaopc, Exaquantum и многие другие. Все уязвимости, присутствующие в продукции, являются багами переполнения стека, однако они отличаются друг от друга уровнем своей опасности. Одна из них способна приводить к удаленному исполнению кода, в то время как две другие могут привести к отказу в обслуживании. «Эксплойт этих уязвимостей может приводить к состоянию отказа в обслуживании, препятствующему обмену данными внутри сети, а также позволяет исполнять произвольный код», — говорится в бюллетене ICS-CERT. К числу уязвимых продуктов относятся: Серия CENTUM: CENTUM CS 1000 (R3.08.70 и ниже); CENTUM CS 3000 (R3.09.50 и ниже); CENTUM CS 3000 Entry (R3.09.50 и ниже); CENTUM VP (R5.04.20 и ниже); CENTUM VP Entry (R5.04.20 и ниже); ProSafe-RS (R3.02.10 и ниже); Exaopc (R3.72.00 и ниже); Exaquantum (R2.85.00 и ниже); Exaquantum/Batch (R2.50.30 и ниже); Exapilot (R3.96.10 и ниже); Exaplog (R3.40.00 и ниже); Exasmoc (R4.03.20 и ниже); Exarqe (R4.03.20 и ниже); Field Wireless Device OPC Server (R2.01.02 и ниже); PRM (R3.12.00 и ниже); STARDOM VDS (R7.30.01 и ниже); STARDOM OPC Server для Windows (R3.40 и ниже); FAST/TOOLS (R10.01 и ниже); B/M9000CS (R5.05.01 и ниже); B/M9000 VP (R7.03.04 и ниже); FieldMate (R1.01 и R1.02). «Если процессу, поддерживающему обмен данными, передать специально созданный пакет, то обмен данными будет нарушен. А затем процесс, использующий функцию обмена данными, станет недоступен. Эксплойт этой уязвимости может позволить удаленному атакующему исполнять произвольный код», — говорится в бюллетене Yokogawa. Yokogawa уже разработала патчи для уязвимой продукции, однако некоторых из них еще нет в открытом доступе. Источник

  • 14 Сентября 2015 » Check Point Security Day 2015
    В прошлый четверг компания Check Point провела в Москве очередное ежегодное мероприятие - Check Point Security Day. Компания УЦСБ выступила спонсором мероприятия и на своём стенде представляла совместное решение для обеспечения безопасности промышленных систем автоматизации и управления: связку комплекса DATAPK и шлюзов безопасности Check Point в защищённом исполнении. В качестве примера объекта защиты выступала действующая модель автопарковочного комплекса, которая за последние полгода побывала уже, наверное, больше, чем в десятке городов по всей России. Постоянный интерес к стенду со стороны участников в итоге не позволил мне даже послушать хотя бы один доклад, поэтому могу только порекомендовать почитать отзыв Игоря Агурьянова, который описал некоторые из представленных Check Point технологий. Посетителей было много - несколько сотен, а судя по составу участников, организаторы к процессу приглашений подошли очень ответственно. Тематика ИБ АСУ ТП, конечна, была близка далеко не всем, но УЦСБ, как интегратор, только этой темой и не ограничивается, так что поговорить было о чём со всеми, а автопарковке спасибо за привлечение внимания! Кстати, в этот раз стенд был представлен в своей расширенной версии, поэтому можно было поучаствовать в конкурсе, целью которого было узнать пароль оператора парковочного комплекса и “угнать” понравившийся автомобиль. К чести посетителей можно сказать, что к концу дня гараж брендированных машинок практически опустел. [caption id=”attachment_7487” align=”aligncenter” width=”500”] Стенд УЦСБ на Check Point Security Day (за полчаса до начала регистрации)[/caption] [caption id=”attachment_7488” align=”aligncenter” width=”500”] Игра в хакеров на стенде УЦСБ[/caption] [caption id=”attachment_7489” align=”aligncenter” width=”500”] DATAPK и Check Point - братья навек =)[/caption] Check Point и их партнёрам IDC спасибо за качественную организацию, коллегам из УЦСБ - за слаженную работу на стенде, а всем посетителям - за внимание к представленным решениям и живой интерес. Коллег из дружественных компаний тоже был рад видеть =) Презентации на момент публикации поста ещё не выложены, но, судя по архиву прошлых лет, ссылка будет такой: http://idcrussia.com/ru/events/62142-check-point-security-day-2015/55-proceedings

  • 14 Сентября 2015 » (инцидент) В аэропорту Внуково используют дефолтные пароли роутеров
    Проходил второй час моего ожидания до рейса Москва-Франкфурт-на-Майне во Внуково, со мной был мой ноутбук, который я подключил к публичному Wi-Fi аэропорта. Устав от музыки и фильмов я решил пощупать локальную сеть на предмет уязвимостей и возможных багов.

  • 14 Сентября 2015 » (уязвимость) Марсоход Curiosity уязвим для взлома
    Проблема в ПО марсохода Curiosity позволяет злоумышленникам обойти защиту, предупреждает The Register. Баг в операционной системе реального времени (ОСРВ) VxWorks обнаружил канадский исследователь Янник Формаджио (Yannick Formaggio). ОСРВ была разработана Wind River, дочерней компанией Intel. Исследователь смог добиться удаленного выполнения кода в операционной системе путем переполнения буфера. Специалист обошел защиту памяти и установил бэкдор-аккаунт. Недостаток характерен для версий от 5.5 до 6.9.4.1. К сожалению, это означает, что не только марсоход, но и многие другие устройства, находящиеся на Земле, нуждаются в патче, поскольку работают на этой ОСРВ. Сейчас компания Wind River знает об уязвимости и готовит необходимую заплатку. К слову, это не первая уязвимость, которая связана с космическими аппаратами. Так, в конце прошлого года хакер смог загрузить нужную ему информацию в базу данных космической капсулы Orion, что подтвердил эксперт NASA. Хакер обнаружил уязвимость в системе и загрузил никнейм Payload1 Payload2 в список из имен 1,3 млн человек, который был отправлен на борту капсулы в космос. Свой первый тестовый полет космический корабль Orion провел 5 декабря 2014 года, стартовав с космодрома на мысе Канаверал в штате Флорида. На орбиту его вывела тяжелая ракета-носитель Delta-4Н. Капсула космического корабля приводнилась в акватории Тихого океана. А в 2011 году шесть серверов, принадлежащих агентству NASA, были признаны потенциально уязвимыми для проведения атак через Интернет. Год спустя космические агентства США и Европы (NASA и ESA) подтвердили информацию о взломе своих сайтов группой The Unknowns. Сообщается, что были похищены военные документы и личная информация 736 человек из базы данных NASA. Кроме того, интерес киберпреступников к космической отрасли в последнее время растет. В частности, по данным «Лаборатории Касперского», хакеры, проводившие кампанию NetTraveler, ориентировались прежде всего на космические исследования, нанотехнологии, производство энергии, ядерную энергетику, лазеры, медицину и связь. Источник

  • 14 Сентября 2015 » Отчёт ICS-CERT за июль-август
    Продолжу публикацию постов по ежедвухмесячным отчётам Команды экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT (Industrial Control Systems Cybersecurity Emergency Response Team). Сегодня речь про очередной отчёт, выпущенный по итогам июля-августа: ICS-CERT Monitor ICS-MM201508 (про прошлый отчёт можно почитать здесь).

  • 10 Сентября 2015 » [промо] База клиентов ИнфоВотч
    Одним из самых ценных активов любой компании является её клиентская база. Именно её призваны в числе других данных защищать DLP системы, именно её часто уносят с собой увольняемые сотрудники и именно за ней охотятся конкуренты. При этом для получения информации о клиентах вовсе не обязательно проникать во внутреннюю сеть организации или подкупать её сотрудников. В открытых источниках такой информации предостаточно - пресс-релизы, истории успеха, слайды в презентациях, статьи и интервью в СМИ, итоговые протоколы на сайтах закупок, посты сотрудников в соцсетях и многое другое может позволить выяснить перечень клиентов компании. Например, в моей практике был случай, когда после визита в Россию представителя одного зарубежного вендора по появившимся у него после этого новым контактам в LinkedIn без проблем удалось определить ещё несколько компаний, с которыми он в ходе своего приезда встречался. В другом случае коллега под занавес переговоров во второй половине дня упомянул, что едет вечером встречаться со своим старым приятелем в некий ресторан, назвав место и время, но не раскрывая персону. По совпадению как раз в это же самое время и в этом же ресторане зачекинился другой коллега из той же отрасли. Сложить два и два было несложно. Думаю, не ошибусь, если предположу, что и у вас подобные истории были, а уж правильно пользоваться поисковиками и анализировать адресную строку браузера вы и тем более умеете. Поэтому предлагаю всем желающим немного размяться и поохотиться в роли конкурента на клиентскую базу одного производителя DLP (и не только) решений, а именно - компании ИнфоВотч. А чтобы охотиться было интереснее, в качестве приза будут три билета на онлайн-трансляцию конференции BIS-Summit 2015. Обычная цена этих билетов составляет 2000 рублей, победителям же они достанутся бесплатно. Правила достаточно просты: нужно в комментарии к этому посту на сайте ZLONOV.ru опубликовать название заказчика (можно сразу список заказчиков) любого продукта ГК ИнфоВотч и привести подтверждающую этот факт ссылку. Призы получат трое последних, оставивших свой комментарий, удовлетворяющий заданным условиям. Приём комментариев завершится в 23:59 (МСК) 14 сентября, понедельник. Итоги будут подведены 15 сентября. Комментарий нужно оставлять именно на основном сайте (блог автоматически транслируется на несколько площадок) вот к этой записи: https://zlonov.ru/2015/09/BIS-Summit/ При комментировании можно использовать аккаунты WordPress, Twitter, Facebook, Google+ или просто указать свой адрес электронной почты. Совет: если вы найдёте какой-либо источник сразу с несколькими заказчиками - добавьте в комментарий их всех, каждый заказчик принимается только один раз (в отличие от источника). Ещё один конкурс с аналогичными призами проводит в своём блоге Сергей Борисов, кстати, его задание мне кажется более интересным =)

  • 09 Сентября 2015 » (уязвимость) В Advantech WebAccess обнаружены семь опасных уязвимостей
    Эксплуатация брешей позволяет злоумышленнику удаленно выполнить код. ИБ-исследователь обнаружил семь опасных уязвимостей в программном обеспечении Advantech WebAccess. Данное ПО, раннее известное как Broadwin WebAccess, является программным обеспечением HMI/SCADA, работающим на базе стандартного web-браузера. Продукт разработан тайваньской компанией Advantech и используется в энергетике, а также коммерческими и правительственными организациями по всему миру. Согласно данным эксперта Правина Даршанама (Praveen Darshanam), компонент AspVCObj.dll в Advantech WebAccess 8.0 и более ранних версиях подвержен семи уязвимостям переполнения стекового буфера (CVE-2014-9208), эксплуатация которых может привести к удаленному выполнению кода. По словам Даршанама, злоумышленник может удаленно выполнить код, передав специально сформированную строку на ConvToSafeArray API в ActiveX-элементе ASPVCOBJLib.AspDataDriven. Для успешной эксплуатации бреши необходимо, чтобы жертва перешла по вредоносной ссылке или открыла вредоносный web-сайт. Специалист заявил, что компании Advantech стало известно о данных уязвимостях еще в декабре 2014 года. Advantech сообщила, что исправит бреши в апреле текущего года, однако обновления так и не были выпущены. За последние несколько лет Команда реагирования на киберугрозы систем индустриального контроля опубликовала десятки бюллетеней о уязвимостях в продуктах Advantech. В число выявленных брешей вошли XSS-уязвимости, бреши, позволяющие выполнить SQL-инъекции, CSRF-уязвимости и пр. Стоит отметить, что продукты Advantech неоднократно становились мишенью в хакерской кампании, в рамках которой использовался вредонос BlackEnergy. Источник

  • 08 Сентября 2015 » Мелочное мошенничество и повышение осведомлённости
    “Полюбить так королеву, а украсть - так миллион!” - не самый удачный девиз для мошенников. Конечно, одна крупная успешная афера может обеспечить индивидуума до конца дней, но и внимание со стороны пострадавшей стороны и органов правопорядка будет совсем иным. Такие преступления готовить надо так, чтобы не осталось ни единой зацепки, ни единой улики, что сложно. Альтернативный вариант - множество мелких мошенничеств, обычно простых в исполнении, но самое главное - незаметных или некритичных для пострадавшей стороны. Например, среди специалистов известен (непубличный) случай в одной ритейловой сети, когда установленное на кассовых терминалах вредоносное ПО добавляло в чек покупателям незначительные дополнительные суммы, отправлявшиеся к злоумышленникам. Технические детали в СМИ не публиковались, но сейчас речь и не про них, а про незаметность: покупатели долгое время даже не замечали самого факта мошенничества. Оно и понятно: заметить среди двух десятков позиций одну с неправильной суммой без специального изучения крайне сложно. А даже если и так - будет ли кто-то всерьёз разбираться с, например, одиннадцатью рублями? Вирусы шифровальщики тоже чаще всего требуют небольшие суммы в расчёте на то, что жертве будет проще и быстрее заплатить, чем решать проблему иным способом. Более того, когда сумма ущерба мала (до 1000 рублей согласно ст. 7.27 КоАП РФ), даже уголовная ответственность не наступает. Поэтому в случае заражения нескольких компьютеров в сети организации злоумышленникам важно суммарно не перейти этого минимального порога - стратегически выгоднее спустя некоторое время повторить атаку на ещё несколько компьютеров, чем рисковать уголовным сроком. В известных мне случаях на некоторых предприятиях злоумышленники  именно так и поступали, оставаясь безнаказанными. Наконец, незначительность потенциального ущерба притупляет бдительность тех, в чьи обязанности входит предупреждение мошенничеств, да и сами системы обычно настраиваются так, чтобы иметь некий минимальный порог срабатывания, до которого контроль упрощён или вовсе отсутствует. Чужой банковской карточкой вряд ли получится оплатить крупную попытку, а вот воспользоваться ей в сети быстрого питания, особенно если там стоят автоматы для самостоятельного заказа, поддерживающие PayPass и payWave, проще простого. Проверено неоднократно =) Главная сложность мелкого мошенничества - в необходимости обеспечения его массовости, иначе овчинка не будет стоить выделки. Ну, а массовость возможна только при наличии достаточного количества жертв, общий уровень грамотности таков, что позволяет им такими жертвами становиться. Повышение осведомлённости, таким образом, может вполне оказаться гораздо более эффективной мерой, чем дорогостоящие технические средства, настроенные на поимку “крупной рыбы”. Жаль только, что в кризис одной из наиболее часто урезаемых статей бюджета становятся как раз затраты на обучение. Тем приятнее, что со стороны государственных ведомств ведётся деятельность по повышению осведомлённости, в том числе и среди детей, будущих активных пользователей: Памятки Управления "К" МВД Проект Роскомнадзора "Персональные данные Дети" Изображение

  • 07 Сентября 2015 » (уязвимость) Fiat Chrysler отозвала 7810 внедорожников в связи с уязвимостью в ПО
    Брешь позволяла удаленному пользователю перехватить управление машиной. В пятницу, 4 сентября, компания Fiat Chrysler добровольно отозвала 7810 внедорожников собственного производства. Причиной этому стала обнаруженная во встроенном ПО уязвимость, позволяющая удаленному пользователю перехватить управление машиной. Наибольшее число отозванных машин пришлось на внедорожники Jeep Renegade 2015-го года выпуска. Эти модели оснащены бортовым компьютером с 6,5-дюймовым сенсорным дисплеем. В настоящее время компанией не зарегистрировано ни единого случая, когда вследствие эксплуатации уязвимости водителям был причинен ущерб. Специалисты Fiat Chrysler заверили покупателей в сложности эксплуатации бреши. По их словам, успешный перехват управления требует значительных технических навыков и длительного пребывания злоумышленника рядом с целевым автомобилем. Помимо этого, написание рабочего эксплоита занимает достаточно много времени. Напомним, что в июле нынешнего года Fiat Chrysler отозвала 1,4 млн машин в связи с обнаруженной в телематическом ПО UConnect уязвимостью. Брешь, продемонстрированная на выставке Black Hat исследователями безопасности Чарли Миллером (Charlie Miller) и Крисом Валасеком (Chris Valasek), позволяла удаленному пользователю перехватить управление автомобилем. Источник </div>