Свежие посты   По годам   По датам
  • 27 Июля 2015 » (уязвимость) Уязвимости в мобильных клиентах для АСУ ТП позволяют атаковать предприятия
    Компания Digital Security, специализирующаяся на анализе защищенности систем, представила результаты своего нового исследования, посвященного безопасности мобильных клиентов для АСУ ТП. Эксперты Digital Security Иван Юшкевич и Александр Большев проанализировали 20 приложений для Android, так или иначе взаимодействующих с инфраструктурой крупных предприятий, включая решения для управления PLC, OPC- и MES-клиенты, клиенты для удаленного управления SCADA (системой диспетчерского контроля и сбора данных). Защищенность платформ была оценена с точки зрения OWASP Top 10 Mobile Risks, также были включены проверки на DoS и защищенность интерфейса паролем. Оказалось, что каждое приложение данного класса содержит определенные слабости и проблемы безопасности, включая критические. По данным компании, в мобильных клиентах для АСУ ТП таких производителей, как Siemens, General Electric, Schnieder Electric, Movicon, Autobase и др., доступных, в том числе, через магазин Google Play, было обнаружено 50 уязвимостей. Большинство из них — логические и архитектурные, и эксплуатировать их достаточно просто. Среди обнаруженных уязвимостей: незащищенные или недостаточно защищенные методы передачи и хранения данных (в том числе, некорректное использование SSL или «самодельные» криптоалгоритмы), удаленная атака на отказ в доступе на клиент и сервер, SQL-инъекции, использование недоверенных входных данных в качестве параметров настройки техпроцесса и др. Особую тревогу вызывает тот факт, что в приложениях удаленного доступа было найдено больше уязвимостей и слабостей, чем в клиентах для работы внутри безопасного периметра. Это недопустимо для решений, работающих через незащищенные каналы связи, считают в Digital Security. Эксплуатация перечисленных проблем ИБ потенциально позволяет реализовать ряд опасных атак как на приложение, так и на оператора. В последнем случае, реально создать ложное представление о текущем состоянии технологического процесса, что может привести к принятию неверных решений с тяжелыми последствиями для предприятия. Целью исследователей в рамках данной работы было не только найти ошибки безопасности в мобильных приложениях для АСУ ТП, но и попытаться экстраполировать риски компрометации этих приложений на риски компрометации всей инфраструктуры АСУ ТП. Этот подход отличается от привычного взгляда на оценку безопасности мобильных приложений: уязвимости с традиционно низким уровнем опасности могут подвергнуть АСУ ТП огромному риску, а уязвимости, которые обычно считаются критичными угрозами, наоборот, бывают опасны для АСУ ТП с очень низкой вероятностью, пояснили в Digital Security. В целом, по словам представителей компании, ситуация в области защищенности мобильных клиентов для АСУ ТП довольно тяжелая. «Качество кода в таких решениях очень низкое, встречаются поистине курьезные ошибки и уязвимости. Возможно, это связано с тем, что область АСУ ТП очень специфична, и разработчики мобильных решений просто не отдают себе отчета в происходящем, — полагают в Digital Security. — Однако такое положение дел недопустимо для сферы критически важных объектов. И чем скорее специалисты осознают уровень опасности, тем лучше». Источник

  • 24 Июля 2015 » Хороший плохой Тинькофф Банк
    Работая в компании, специализирующейся на информационной безопасности, постоянно находишься в окружении параноиков увлечённых людей =) Но лично меня это очень радует, так как и сам такой же. Недавно коллега Евгений Миронов обратил внимание на ежемесячную рассылку Банка Тинькофф электронных писем с информацией о выписке об операциях по карте. До июля банк присылал выписку в виде вложенного PDF-файла, а в июле решил изменить способ доставки. [caption id=”attachment_7213” align=”aligncenter” width=”608”] Ссылка на выписку[/caption] Теперь в письме самой выписки не было - прислали лишь ссылку, где её можно посмотреть. Ссылка генерируется для каждого клиента (видимо) случайная и просто так её не подберёшь: https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618 Вот только ссылка эта является прямой, т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки. В принципе, с точки зрения безопасности большой разницы между обоими вариантами (PDF-файл и прямая ссылка) нет, если бы не один нюанс, на который Евгений и обратил внимание. Дело в том, что на странице банка, где размещается эта ссылка, были встроены сервисы рекламы и статистики, к которым при загрузке страницы происходило обращение. Вот эти сервисы: adfocus.ru s.ytimg.com ssp-ext-bl.datamind.ru stats.g.doubleclick.net sync.pool.datamind.ru syncsw.pool.datamind.ru www.youtube.com tinkoffcreditsystems.d3.sc.omtrdc.net www.google-analytics.com top-fwz1.mail.ru www.googletagmanager.com Получается, что фактически, любой, кто имеет доступ к статистике этих сервисов (например, их владельцы, администраторы и иной обслуживающий персонал) может увидеть в логах те самые прямые ссылки и воспользоваться ими, чтобы, не зная логина и пароля, получить доступ к выпискам клиентов банка (при условии, конечно, что клиенты пройдут по этим ссылкам). Евгений обратился в банк и выписку по его ссылке оперативно удалили, но и только. Убедился в этом, проверив ссылку из собственного письма. Выписка прекрасно скачивалась без авторизации и сервисы были на месте: [caption id="attachment_7214" align="aligncenter" width="215"] Некоторые из сервисов на странице банка Тинькофф с выпиской клиента[/caption] К слову, посмотреть запросы, направляемые загружаемой страницей к внешним сервисам можно так: Safari: правая кнопка мыши -> Показать программный код страницы -> вкладка Шкала времени. Перезагрузите страницу и увидите полный список всех запросов как на скриншоте выше. Chrome: правая кнопка мыши -> Проверить элемент -> вкладка Sources. Предположив, что результатом моего персонального обращения в банк станет очередное удаление одной единственной (теперь моей) выписки, обратился к ним через официальный аккаунт в Твиттере. Не сразу, но всё-таки меня там поняли. Более того, сейчас (по моим прикидкам на исправление было потрачено около недели) на всех страницах https://www.tinkoff.ru/statement/* вообще никаких сторонних сервисов больше нет, хотя с главной страницы сайта банка они, конечно, никуда не делись. В целом, молодцы, что исправили, но плохо, что не позаботились об этом заранее. В конце концов, нет же никаких Google Analytics и прочих средств слежения за пользователем в Личном кабинете их Интернет-банка. Надеюсь, что г-н Оливер Хьюз будет следить за соблюдением озвученных им принципов: «Мы являемся единственным полностью дистанционным банком в России, поэтому развитие онлайн-каналов — наш приоритет, и мы инвестируем много времени и ресурсов, чтобы довести их до совершенства». В конце концов, даже в Минэкономразвития всю опасность сторонних счётчиков понимают, там, правда, мотивация чуть другая =) [box type="info" style="rounded"]UPD. 24.07.2015 Как подсказывают в Facebook коллеги из Лаборатории Касперского, вероятно, проблема не была настолько опасна: настройки предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. Достоверно проверить сейчас данный факт уже не представляется возможным (все ссылки на выписки недействительны). С другой стороны, наличие любых запросов со страницы с конфиденциальной информацией к каким бы то ни было сторонним сервисам не желательно в любом случае.[/box] [box type="info" style="rounded"]UPD. 17.08.2015 Появилась возможность проверить справедливость моих опасений и не преминул это сделать: Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью.[/box] В заключение порекомендую два отличных расширения для браузеров: Ghostery и AdBlock, которые в описанном выше случае (пока я их не отключил для проведения тестов) прекрасно справлялись с проблемой. Ghostery специализируется как раз на блокировке сервисов по слежению за пользователями и в работе очень информативен и удобен: для каждой страницы можно быстро посмотреть обнаруженные "жучки" и при необходимости некоторые из них разрешить (бывает нужно, например, для автоматической авторизации с использованием профиля соцсети). [caption id="attachment_7217" align="aligncenter" width="550"] Ghostery vs Tinkoff Bank[/caption] Единственный недостаток Ghostery - не очень полная база, особенно для русскоязычного сегмента Интернет. Даже на примере страницы банка Тинькофф видно, что Ghostery выявил только два жучка. AdBlock, наверное, популярнее и уже знаком многим как отличное средство борьбы с рекламой (а её в сети хватает), но это не единственный его функционал. В настройках можно включить дополнительные списки фильтров для блокировки: [caption id="attachment_7218" align="aligncenter" width="550"] Списки фильтров AdBlock[/caption] Впрочем, если выбрать вообще все списки, то часть привычного функционала на многих сайтах может пропасть, так что в крайность впадать тоже не обязательно. Ещё материалы по теме: ЯндексБот ходит по ссылкам, по которым ходит пользователь, ХабраХабр С официальных сайтов уберут иностранные счетчики посещаемости, Известия Как я чуть не "взломал" Альфа-Банк, ZLONOV.ru Почему DLP-система не защитила банк Санкт-Петербург от утечки?, ZLONOV.ru Изображение  

  • 24 Июля 2015 » (уязвимость) Siemens устранила уязвимости в SIPROTEC, SIMATIC и RuggedCom
    Компания Siemens устранила уязвимости в своих продуктах. Как следует из уведомлений, составленных экспертами из ICS-CERT и Siemens, устройства SIPROTEC 4 и SIPROTEC Compact содержат уязвимость, эксплуатация которой при определенных обстоятельствах позволяет осуществить DoS-атаку. Эти аппаратные продукты используются на электрических подстанциях и других подобных предприятиях для обеспечения защиты, контроля и автоматизации различных производственных процессов. Брешь, получившая идентификатор CVE-2015-5374, существует из-за ошибки при обработке определенных пакетов, отправленных на порт 50000/UDP. Уязвимыми являются устройства с прошивкой версии 4.25 или более ранней. Для успешной эксплуатации атакующему необходимо иметь доступ к локальной сети. Вторая уязвимость (CVE-2015-5084) может быть использована только локально и затрагивает приложение SIMATIC WinCC Sm@rtClient для Android-устройств. Как и Sm@rtServer, указанная программа используется для удаленного управления интерфейсом SIMATIC через мобильное устройство. Суть бреши заключается в том, что, имея локальный доступ к Sm@rtClient, атакующий может раскрыть учетные данные для Sm@rtServer. Третья и последняя уязвимость (CVE-2015-5537) затрагивает устройства RuggedCom (с операционными системами ROS и ROX) и позволяет осуществить так называемую POODLE-атаку. Успешная эксплуатация позволяет осуществлять перехват данных, передаваемых по зашифрованному каналу связи. В настоящий момент исправление безопасности доступно только для устройств под управлением операционной системы ROS. Информация взята с сайта: http://www.securitylab.ru/ Источник

  • 24 Июля 2015 » (уязвимость) Злоумышленники могут получить контроль над автомобилем с помощью радио
    Исследователь безопасности успешно осуществил атаку на системы автомобиля через DAB-передатчик. Злоумышленники могут получить контроль над тормозной и другими критическими системами автомобиля с помощью цифрового радио, уверены ИБ-эксперты манчестерской компании NCC Group. Как сообщает издание BBC, исследователям удалось успешно осуществить атаку на информационно-развлекательную систему транспортного средства, отправляя данные через DAB-радиосигналы. Для осуществления атаки глава NCC Group Энди Дэвис (Andy Davis) сконструировал DAB-радиостанцию. Как пояснил эксперт, информационно-развлекательная система автомобиля обрабатывает DAB-данные, которые затем отображаются на экране на приборной панели, поэтому, отправив вредоносный код, злоумышленник может получить контроль над системой. Захватив над ней управление, он способен получить доступ и над другими системами. При достаточной мощности передатчика с помощью цифрового радио можно скомпрометировать несколько автомобилей одновременно. «Вероятнее всего, атакующий остановит свой выбор на общественной радиостанции для того, чтобы захватить как можно больше автомобилей», - сообщил Дэвис. После успешной демонстрации атаки исследователь отказался уточнить производителя транспортного средства, которого ему удалось взломать. Напомним, что на днях исследователи безопасности продемонстрировали уязвимость в бортовом компьютере Jeep Cherokee производства Fiat Chrysler. В настоящее время производитель выпустил патч, исправляющий данную брешь. Источник  

  • 21 Июля 2015 » (уязвимость) Автопроизводитель Chrysler выпустил security-обновление для Jeep Grand Cherokee (WK2)
    Chrysler выпустил security-обновление для моделей Jeep Grand Cherokee (WK2), которое закрывает ряд уязвимостей. Уязвимости могут использоваться атакующими для получения удаленного доступа к машине. Судя по всему, обновление доступно только для клиентов (владельцев машин) Chrysler в США, Канаде и Франции. Обновлению подлежит радио/навигационная система со встроенным ПО Uconnect 8.4AN AM/FM/BT/Access/NAV. Под «удаленным доступом» подразумевается потенциальная возможность атакующих с использованием уязвимостей удаленно получить доступ к рулевому управлению или удаленно открыть двери машины используя ПО Uconnect моделей машин 2014 и 2015 года выпуска. Доступны следующие обновления. Видно, что кроме security-уязвимостей (Improved Radio security protection to reduce the potential risk of unauthorized and unlawful access to vehicle systems), обновление исправляет и прочие баги в ПО. Известный исследователь безопасности ПО машин Charlie Miller (0xcharlie) призвал пользователей обязательно установить это обновление. Структура обновления имеет следующий вид. Для получения обновления следует пройти по этой ссылке и указать свой идентификатор VIN. Источник

  • 21 Июля 2015 » (аналитика) Компьютерные атаки на критическую инфраструктуру вскоре смогут стать причиной человеческих смертей
    По мнению IT-экспертов, ключом к обеспечению надлежащей защиты является сотрудничество бизнеса и властей.

  • 20 Июля 2015 » WAF от Positive Technologies в квадрате Gartner
    Компания Positive Technologies со своим решением PT Application Firewall попала в опубликованный на днях магический квадрат Gartner Magic Quadrant for Web Application Firewalls (WAF) 2015, правда сами разработчики позиционируют его без акцента на Web.

  • 17 Июля 2015 » (уязвимость) В промышленном устройстве Siemens обнаружен баг обхода аутентификации
    [box type=”info” style=”rounded”]Публикация в ICS-CERT: Advisory (ICSA-15-176-01)[/box] Уязвимость обхода аутентификации в устройстве Siemens, применяемом для автоматизации в энергетике, может позволить злоумышленникам получить контроль над устройством. Баг обнаружился в Siemens SICAM MIC, небольшой системе удаленного управления, которая выполняет ряд функций, в том числе содержит интегрированный веб-сервер. «Устройство состоит из главного элемента управления и различных модулей ввода-вывода, оно разработано для установки на направляющие DIN. Главный элемент управления служит для взаимодействия и обеспечения работы модулей ввода-вывода и содержит телекоммуникационный интерфейс», — говорится в документации Siemens на это устройство. Исследователь Филипп Ошлан (Philippe Oechslin) из Objectif Sécurité обнаружил возможность обхода аутентификации в устройствах SICAM MIC и сообщил об этом компании, которая выпустила обновленную версию прошивки, где эта проблема отсутствует. «Злоумышленники, имеющие сетевой доступ к веб-интерфейсу устройства (порт 80/TCP), могут обойти аутентификацию и выполнить административные действия. Легитимный пользователь должен быть аутентифицирован в веб-интерфейсе, чтобы атака была успешной», — говорится в оповещении от ICS-CERT. Для исправления уязвимости Siemens выпустила микропрограмму V2404. Данный баг может быть эксплуатирован удаленно, но, согласно оповещению ICS-CERT, пока нет известных публичных эксплойтов для него. Источник

  • 17 Июля 2015 » Встреча ФРИИ. Стартап в области информационной безопасности.
    Вчера вечером в Сити Холле ФРИИ (Фонд развития интернет-инициатив) проводил встречу Рынок информационной безопасности и защиты данных: проблемы, свободные ниши и возможности для новых стартапов и продуктов в России. Трансляцию в твиттере можно было читать по хэштегу #ФРИИ. В частности, её вели коллеги Андрей Прозоров @3dwave и Евгений Полянский @polyanich, мой твиттер - @zlonov. В целом, было интересно и местами даже полезно. Приглашённые эксперты, хоть и не могли договориться о самом понятии стартап, отвечали бойко, шутили и раздавали направо и налево советы и рекомендации. Общий итог вполне ожидаем - готового рецепта  успеха не существует. Кто-то рекомендовал ориентировать стартап сразу на мировой рынок (мол, российский - это лишь 2% от него), кто-то наоборот призывал делать упор на нормативные требования и госбюджеты. Одни призывали заняться изготовлением чипов для банковских карт, а другие - подумать над решениями по безопасности для новых индивидуальных устройств, готовящихся к выпуску лидерами порноиндустрии. Некоторые эксперты жаловались на недостаток на рынке отечественных аналогов  мировым традиционным решениям по безопасности (как пример - web-шлюзы), призывая сосредоточиться на таких разработках. Не знаю, на мой взгляд, с учётом зарегулированности этой сферы, особенностей распределения крупных бюджетов и наличия опытных игроков шансов у стартапов здесь немного. При текущем раскладе антивирусы для процессоров и тот же консалтинг по реагированию на инциденты, предложенные Артёмом Сычевым (Центробанк), как стартап выглядят и то более перспективно, чем очередной межсетевой экран. Помимо обозначения ниш, основателям стартапов советовали читать книги, в том числе Уголовный кодекс =), фокусироваться на execution, верить в себя и не переставать искать новые возможности, критерии успеха для продукта стартапа кратко были сформулированы так: новизна идеи, совокупная стоимость владения, продуктовая совместимость с уже имеющимися решениями, команда специалистов, способных внедрить и сопровождать продукт. Ещё по теме стартапов в области информационной безопасности: Конкурс Skolkovo Cybersecurity Challenge 2015 5 стартапов в области информационной безопасности, которые пригодятся каждому проекту, Цукерберг Позвонит Где взять полтора миллиона на стартап по кибербезопасности, SecurityLab

  • 15 Июля 2015 » (уязвимость) Шесть уязвимостей Tesla Model S покажут на Defcon: взломай свою тачку
    Автомобили Tesla — пожалуй, самые нашпигованные компьютерной техникой и электроникой автомобили в мире. Эдакие батарейки на колёсах с операционной системой Ubuntu на борту. В последнее время они подверглись пристальному изучению со стороны хакерского сообщества. Не только чтобы помочь Илону Маску исправить баги, но и потому что каждый гик хочет хакнуть машину и настроить её под свои нужды. Выйти за пределы заводских установок. Или превратить в кирпич, как повезет. На конференции Defcon в августе 2015 года выступят двое специалистов по безопасности: Марк Роджерс (Marc Rogers) из Cloudflare и Кевин Махаффи (Kevin Mahaffey) из Lookout. Они обещают показать сразу шесть уязвимостей Tesla Model S, из которых пять (!) незакрытых. Хакеры внимательно проанализировали архитектуру Tesla Model S и собираются рассказать публике на Defcon о её слабых местах. Все узнают о большом количестве взаимодействий между внутренними модулями Tesla Model S, о том, как организована связь между ними и, самое главное, как можно их взломать. Авторы расскажут, какие данные собирает Tesla и что делает с телеметрией. В открытый доступ обещают выложить программу для просмотра и анализа телеметрии Tesla в реальном времени. В конце концов, пять 0-day уязвимостей можно использовать различными способами. Каждый владелец автомобиля сам решит, как их применить. Это очень полезная информация, чтобы настроить автомобиль и получить над ним по-настоящему полный контроль. Некоторые из уязвимостей эксплуатируются локально, при наличии физического доступа к автомобилю. Другие — дистанционно, через интернет. Источник