Свежие посты   По годам   По датам
  • 29 Июля 2015 » Почему DLP-система не защитила банк Санкт-Петербург от утечки?
    На прошлой неделе стало известно о хакерской атаке на банк Санкт-Петербург, в результате которой “злоумышленникам стала доступна информация о нескольких тысячах карточных счетов - ФИО, номер счета и номер карты”. Атака примечательна тем, что монетизировать украденную информацию хакеры попытались сразу же - путём вымогательства 29 миллионов рублей в обмен на нераскрытие украденной информации. Шантаж не удался, банк на сделку не согласился, так как по мнению его представителей “никакой угрозы для клиентов нет”. Более того, и в СМИ банк, судя по всему, обратился самостоятельно, опередив злоумышленников, которые угрожали публичной оглаской. Второй любопытный момент с этой атакой - банк выявил взлом, но не пресёк его, а перевёл в контролируемый режим: ...нами была своевременно обнаружена нетипичная для поведения клиентов активность в информационной базе. Специалисты банка изучили ситуацию и пришли к выводу, что данные, получаемые хакерами, не являются критичными для клиентов и не могут повлечь за собой возможность проведения мошеннических операций по их счетам. В результате было принято решение сразу не блокировать их доступ к этой информации, а дождаться, когда правоохранительные органы смогут найти улики, дающие возможность задержать преступников в будущем. Наконец, вишенку на торт истории данного взлома положили коллеги из компании ИнфоВотч, опубликовав на официальном сайте более умеренный текст и без упоминания конкурентов, но при этом разместив в ЖЖ пост с важным пикантным добавлением: Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ – это инвестиции в репутацию компании. С моей лёгкой(?) руки в Twitter и Facebook развернулась оживлённая дискуссия на тему того, что DLP-система не предотвратила эту утечку. Заодно были обсуждены и мои таланты в области "черного PR", но это к сути поста не относится =) Несмотря на использованный мной довольно провокационный тезис, вырванный из контекста поста ИнфоВотч ("В банке Санкт-Петербург, допустившем утечку персональных данных 300 тыс клиентов, была внедрена DLP-система Дозор-Джет"), на мой взгляд, вины вендора и интегратора (на момент самого внедрения, как я понимаю, это было одно и то же) в случившемся нет. Попробую объяснить почему. Во-первых, DLP-система, как и любое средство защиты информации, не даёт 100% гарантии отсутствия утечек (продавцы, утверждающие обратное, мягко говоря, преувеличивают). Речь может идти только о снижении вероятности. Сколько утечек успешно ранее предотвратил Дозор-Джет - мы не знаем, поэтому выводы о его эффективности на основании одного случая сделать не получится. Во-вторых, DLP-система призвана отслеживать лишь ограниченное число потенциальных каналов утечки, а не все мыслимые и немыслимые. Сокращение числа лишних каналов как раз одна из задач при внедрении DLP - в статье Коммерсанта, например, говорится о контроле доступа сотрудников в Интернет с той самой целью сокращения числа каналов утечки. Каким конкретно каналом воспользовались хакеры - не известно, вполне вероятно, что его DLP как раз и не отслеживала. В-третьих, несмотря на то, что в контролируемость самой утечки не так просто поверить, мы имеем официальное заявление банка об этом, сделанное в СМИ, так что DLP-система могла быть просто отключена самими сотрудниками банка. Наконец, надо отметить, что противостояние внешнему взлому не является функцией DLP-системы, поэтому проникшие в сеть банка хакеры могли деактивировать DLP или, выявив её присутствие, воспользоваться какой-либо техникой обхода (для опытного специалиста вряд ли такое будет нерешаемой задачей). Кстати, в статье Коммерсанта, на которую ссылаются коллеги из ИнфоВотч, упоминания конкретного продукта нет, но вроде бы никто из представителей Инфосистем Джет или Solar Security не отрицает факт использования именно DLP-системы Дозор-Джет (текущее название - Solar Dozor). В любом случае, дать адекватную оценку эффективности используемых в банке Санкт-Петербург средств защиты информации можно только обладая полной информацией о случившемся. Было бы здорово, если банк обнародовал результаты внутреннего расследования причин случившегося - полагаю, открытость в данном вопросе нивелировала бы хотя бы частично урон, нанесённый его репутации. Ведь персональные данные всё-таки утекли и не очень правильно будет просто закрыть на это глаза, тут с коллегами из ИнфоВотч соглашусь. Изображение

  • 28 Июля 2015 » (уязвимость) В контроллерах производства Honeywell обнаружена пара багов
    Все ближе тот день, когда дома станут по-настоящему умными, все чаще в них можно встретить автоматизированные устройства, доступные через Сеть. Однако исследователи, решившие изучить, как в этой сфере обстоят дела с безопасностью, обнаружили, что подобные дома, может, и умны, но при этом крайне уязвимы к сетевым атакам. На этот раз уязвимости были обнаружены в контроллере Tuxedo Touch — устройстве производства Honeywell, призванном взять на себя управление такими домашними системами, как безопасность, климат-контроль, освещение и другие. Само собой разумеется, подобное устройство доступно через Сеть. Исследователь из Германии Максим Рупп (Maxim Rupp) обнаружил в нем пару уязвимостей, позволяющих атакующему выполнять произвольные действия, например отпирать двери или изменять настройки климат-контроля. В контроллере присутствуют две разные уязвимости: обход аутентификации и подделка межсайтовых запросов. Первая уязвимость позволяет атакующему обойти механизм аутентификации в системе. «Веб-интерфейс контроллера Honeywell Tuxedo Touch использует JavaScript для аутентификации клиента, перенаправляя неавторизованных пользователей на логин-страницу. Перехватив и модифицировав запросы, содержащие строку USERACCT=USERNAME:,PASSWORD:, неаутентифицированный пользователь может обойти процесс аутентификации и получить доступ к закрытым страницам», — говорится в бюллетене CERT. На практике это означает, что, когда система запрашивает у пользователя юзернейм и пароль, он может просто проигнорировать запрос и получить доступ к закрытым ресурсам. Рупп, за последнее время обнаруживший и огласивший ряд уязвимостей в различных устройствах, включая ветряные турбины, заявил, что эксплуатировать эту уязвимость крайне просто. «Я считаю, что ее эксплойт крайне прост, даже атакующий без особых навыков сможет сделать это удаленно», — отметил эксперт, добавляя, что даже поверхностный поисковый запрос через Shodan выявил несколько сотен уязвимых контроллеров. На самом деле, как считает исследователь, их гораздо больше. «Shodan обнаружил около 500 устройств, из которых 450 находятся на территории США. Я думаю, что более тщательный поисковый запрос смог бы выявить более тысячи устройств», — подчеркнул он. Вторая уязвимость — баг подделки межсайтовых запросов, эксплойт которого требует наличия активной сессии, инициированной аутентифицированным пользователем. «Контроллер Honeywell Tuxedo Touch содержит глобальную уязвимость подделки межсайтовых запросов. Атакующий может исполнять действия с теми же привилегиями, что и жертва, использующая активную сессию и вызвавшая срабатывание вредоносного запроса. Злоумышленник сможет отдавать уязвимому контроллеру команды, например, на запирание или отпирание дверей», — гласит бюллетень CERT. Honeywell выпустила обновление для программного обеспечения уязвимых устройств, закрывшее обнаруженные Руппом бреши. Источник

  • 27 Июля 2015 » (уязвимость) Уязвимости в мобильных клиентах для АСУ ТП позволяют атаковать предприятия
    Компания Digital Security, специализирующаяся на анализе защищенности систем, представила результаты своего нового исследования, посвященного безопасности мобильных клиентов для АСУ ТП. Эксперты Digital Security Иван Юшкевич и Александр Большев проанализировали 20 приложений для Android, так или иначе взаимодействующих с инфраструктурой крупных предприятий, включая решения для управления PLC, OPC- и MES-клиенты, клиенты для удаленного управления SCADA (системой диспетчерского контроля и сбора данных). Защищенность платформ была оценена с точки зрения OWASP Top 10 Mobile Risks, также были включены проверки на DoS и защищенность интерфейса паролем. Оказалось, что каждое приложение данного класса содержит определенные слабости и проблемы безопасности, включая критические. По данным компании, в мобильных клиентах для АСУ ТП таких производителей, как Siemens, General Electric, Schnieder Electric, Movicon, Autobase и др., доступных, в том числе, через магазин Google Play, было обнаружено 50 уязвимостей. Большинство из них — логические и архитектурные, и эксплуатировать их достаточно просто. Среди обнаруженных уязвимостей: незащищенные или недостаточно защищенные методы передачи и хранения данных (в том числе, некорректное использование SSL или «самодельные» криптоалгоритмы), удаленная атака на отказ в доступе на клиент и сервер, SQL-инъекции, использование недоверенных входных данных в качестве параметров настройки техпроцесса и др. Особую тревогу вызывает тот факт, что в приложениях удаленного доступа было найдено больше уязвимостей и слабостей, чем в клиентах для работы внутри безопасного периметра. Это недопустимо для решений, работающих через незащищенные каналы связи, считают в Digital Security. Эксплуатация перечисленных проблем ИБ потенциально позволяет реализовать ряд опасных атак как на приложение, так и на оператора. В последнем случае, реально создать ложное представление о текущем состоянии технологического процесса, что может привести к принятию неверных решений с тяжелыми последствиями для предприятия. Целью исследователей в рамках данной работы было не только найти ошибки безопасности в мобильных приложениях для АСУ ТП, но и попытаться экстраполировать риски компрометации этих приложений на риски компрометации всей инфраструктуры АСУ ТП. Этот подход отличается от привычного взгляда на оценку безопасности мобильных приложений: уязвимости с традиционно низким уровнем опасности могут подвергнуть АСУ ТП огромному риску, а уязвимости, которые обычно считаются критичными угрозами, наоборот, бывают опасны для АСУ ТП с очень низкой вероятностью, пояснили в Digital Security. В целом, по словам представителей компании, ситуация в области защищенности мобильных клиентов для АСУ ТП довольно тяжелая. «Качество кода в таких решениях очень низкое, встречаются поистине курьезные ошибки и уязвимости. Возможно, это связано с тем, что область АСУ ТП очень специфична, и разработчики мобильных решений просто не отдают себе отчета в происходящем, — полагают в Digital Security. — Однако такое положение дел недопустимо для сферы критически важных объектов. И чем скорее специалисты осознают уровень опасности, тем лучше». Источник

  • 24 Июля 2015 » Хороший плохой Тинькофф Банк
    Работая в компании, специализирующейся на информационной безопасности, постоянно находишься в окружении параноиков увлечённых людей =) Но лично меня это очень радует, так как и сам такой же. Недавно коллега Евгений Миронов обратил внимание на ежемесячную рассылку Банка Тинькофф электронных писем с информацией о выписке об операциях по карте. До июля банк присылал выписку в виде вложенного PDF-файла, а в июле решил изменить способ доставки. [caption id=”attachment_7213” align=”aligncenter” width=”608”] Ссылка на выписку[/caption] Теперь в письме самой выписки не было - прислали лишь ссылку, где её можно посмотреть. Ссылка генерируется для каждого клиента (видимо) случайная и просто так её не подберёшь: https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618 Вот только ссылка эта является прямой, т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки. В принципе, с точки зрения безопасности большой разницы между обоими вариантами (PDF-файл и прямая ссылка) нет, если бы не один нюанс, на который Евгений и обратил внимание. Дело в том, что на странице банка, где размещается эта ссылка, были встроены сервисы рекламы и статистики, к которым при загрузке страницы происходило обращение. Вот эти сервисы: adfocus.ru s.ytimg.com ssp-ext-bl.datamind.ru stats.g.doubleclick.net sync.pool.datamind.ru syncsw.pool.datamind.ru www.youtube.com tinkoffcreditsystems.d3.sc.omtrdc.net www.google-analytics.com top-fwz1.mail.ru www.googletagmanager.com Получается, что фактически, любой, кто имеет доступ к статистике этих сервисов (например, их владельцы, администраторы и иной обслуживающий персонал) может увидеть в логах те самые прямые ссылки и воспользоваться ими, чтобы, не зная логина и пароля, получить доступ к выпискам клиентов банка (при условии, конечно, что клиенты пройдут по этим ссылкам). Евгений обратился в банк и выписку по его ссылке оперативно удалили, но и только. Убедился в этом, проверив ссылку из собственного письма. Выписка прекрасно скачивалась без авторизации и сервисы были на месте: [caption id="attachment_7214" align="aligncenter" width="215"] Некоторые из сервисов на странице банка Тинькофф с выпиской клиента[/caption] К слову, посмотреть запросы, направляемые загружаемой страницей к внешним сервисам можно так: Safari: правая кнопка мыши -> Показать программный код страницы -> вкладка Шкала времени. Перезагрузите страницу и увидите полный список всех запросов как на скриншоте выше. Chrome: правая кнопка мыши -> Проверить элемент -> вкладка Sources. Предположив, что результатом моего персонального обращения в банк станет очередное удаление одной единственной (теперь моей) выписки, обратился к ним через официальный аккаунт в Твиттере. Не сразу, но всё-таки меня там поняли. Более того, сейчас (по моим прикидкам на исправление было потрачено около недели) на всех страницах https://www.tinkoff.ru/statement/* вообще никаких сторонних сервисов больше нет, хотя с главной страницы сайта банка они, конечно, никуда не делись. В целом, молодцы, что исправили, но плохо, что не позаботились об этом заранее. В конце концов, нет же никаких Google Analytics и прочих средств слежения за пользователем в Личном кабинете их Интернет-банка. Надеюсь, что г-н Оливер Хьюз будет следить за соблюдением озвученных им принципов: «Мы являемся единственным полностью дистанционным банком в России, поэтому развитие онлайн-каналов — наш приоритет, и мы инвестируем много времени и ресурсов, чтобы довести их до совершенства». В конце концов, даже в Минэкономразвития всю опасность сторонних счётчиков понимают, там, правда, мотивация чуть другая =) [box type="info" style="rounded"]UPD. 24.07.2015 Как подсказывают в Facebook коллеги из Лаборатории Касперского, вероятно, проблема не была настолько опасна: настройки предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. Достоверно проверить сейчас данный факт уже не представляется возможным (все ссылки на выписки недействительны). С другой стороны, наличие любых запросов со страницы с конфиденциальной информацией к каким бы то ни было сторонним сервисам не желательно в любом случае.[/box] [box type="info" style="rounded"]UPD. 17.08.2015 Появилась возможность проверить справедливость моих опасений и не преминул это сделать: Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью.[/box] В заключение порекомендую два отличных расширения для браузеров: Ghostery и AdBlock, которые в описанном выше случае (пока я их не отключил для проведения тестов) прекрасно справлялись с проблемой. Ghostery специализируется как раз на блокировке сервисов по слежению за пользователями и в работе очень информативен и удобен: для каждой страницы можно быстро посмотреть обнаруженные "жучки" и при необходимости некоторые из них разрешить (бывает нужно, например, для автоматической авторизации с использованием профиля соцсети). [caption id="attachment_7217" align="aligncenter" width="550"] Ghostery vs Tinkoff Bank[/caption] Единственный недостаток Ghostery - не очень полная база, особенно для русскоязычного сегмента Интернет. Даже на примере страницы банка Тинькофф видно, что Ghostery выявил только два жучка. AdBlock, наверное, популярнее и уже знаком многим как отличное средство борьбы с рекламой (а её в сети хватает), но это не единственный его функционал. В настройках можно включить дополнительные списки фильтров для блокировки: [caption id="attachment_7218" align="aligncenter" width="550"] Списки фильтров AdBlock[/caption] Впрочем, если выбрать вообще все списки, то часть привычного функционала на многих сайтах может пропасть, так что в крайность впадать тоже не обязательно. Ещё материалы по теме: ЯндексБот ходит по ссылкам, по которым ходит пользователь, ХабраХабр С официальных сайтов уберут иностранные счетчики посещаемости, Известия Как я чуть не "взломал" Альфа-Банк, ZLONOV.ru Почему DLP-система не защитила банк Санкт-Петербург от утечки?, ZLONOV.ru Изображение  

  • 24 Июля 2015 » (уязвимость) Siemens устранила уязвимости в SIPROTEC, SIMATIC и RuggedCom
    Компания Siemens устранила уязвимости в своих продуктах. Как следует из уведомлений, составленных экспертами из ICS-CERT и Siemens, устройства SIPROTEC 4 и SIPROTEC Compact содержат уязвимость, эксплуатация которой при определенных обстоятельствах позволяет осуществить DoS-атаку. Эти аппаратные продукты используются на электрических подстанциях и других подобных предприятиях для обеспечения защиты, контроля и автоматизации различных производственных процессов. Брешь, получившая идентификатор CVE-2015-5374, существует из-за ошибки при обработке определенных пакетов, отправленных на порт 50000/UDP. Уязвимыми являются устройства с прошивкой версии 4.25 или более ранней. Для успешной эксплуатации атакующему необходимо иметь доступ к локальной сети. Вторая уязвимость (CVE-2015-5084) может быть использована только локально и затрагивает приложение SIMATIC WinCC Sm@rtClient для Android-устройств. Как и Sm@rtServer, указанная программа используется для удаленного управления интерфейсом SIMATIC через мобильное устройство. Суть бреши заключается в том, что, имея локальный доступ к Sm@rtClient, атакующий может раскрыть учетные данные для Sm@rtServer. Третья и последняя уязвимость (CVE-2015-5537) затрагивает устройства RuggedCom (с операционными системами ROS и ROX) и позволяет осуществить так называемую POODLE-атаку. Успешная эксплуатация позволяет осуществлять перехват данных, передаваемых по зашифрованному каналу связи. В настоящий момент исправление безопасности доступно только для устройств под управлением операционной системы ROS. Информация взята с сайта: http://www.securitylab.ru/ Источник

  • 24 Июля 2015 » (уязвимость) Злоумышленники могут получить контроль над автомобилем с помощью радио
    Исследователь безопасности успешно осуществил атаку на системы автомобиля через DAB-передатчик. Злоумышленники могут получить контроль над тормозной и другими критическими системами автомобиля с помощью цифрового радио, уверены ИБ-эксперты манчестерской компании NCC Group. Как сообщает издание BBC, исследователям удалось успешно осуществить атаку на информационно-развлекательную систему транспортного средства, отправляя данные через DAB-радиосигналы. Для осуществления атаки глава NCC Group Энди Дэвис (Andy Davis) сконструировал DAB-радиостанцию. Как пояснил эксперт, информационно-развлекательная система автомобиля обрабатывает DAB-данные, которые затем отображаются на экране на приборной панели, поэтому, отправив вредоносный код, злоумышленник может получить контроль над системой. Захватив над ней управление, он способен получить доступ и над другими системами. При достаточной мощности передатчика с помощью цифрового радио можно скомпрометировать несколько автомобилей одновременно. «Вероятнее всего, атакующий остановит свой выбор на общественной радиостанции для того, чтобы захватить как можно больше автомобилей», - сообщил Дэвис. После успешной демонстрации атаки исследователь отказался уточнить производителя транспортного средства, которого ему удалось взломать. Напомним, что на днях исследователи безопасности продемонстрировали уязвимость в бортовом компьютере Jeep Cherokee производства Fiat Chrysler. В настоящее время производитель выпустил патч, исправляющий данную брешь. Источник  

  • 21 Июля 2015 » (уязвимость) Автопроизводитель Chrysler выпустил security-обновление для Jeep Grand Cherokee (WK2)
    Chrysler выпустил security-обновление для моделей Jeep Grand Cherokee (WK2), которое закрывает ряд уязвимостей. Уязвимости могут использоваться атакующими для получения удаленного доступа к машине. Судя по всему, обновление доступно только для клиентов (владельцев машин) Chrysler в США, Канаде и Франции. Обновлению подлежит радио/навигационная система со встроенным ПО Uconnect 8.4AN AM/FM/BT/Access/NAV. Под «удаленным доступом» подразумевается потенциальная возможность атакующих с использованием уязвимостей удаленно получить доступ к рулевому управлению или удаленно открыть двери машины используя ПО Uconnect моделей машин 2014 и 2015 года выпуска. Доступны следующие обновления. Видно, что кроме security-уязвимостей (Improved Radio security protection to reduce the potential risk of unauthorized and unlawful access to vehicle systems), обновление исправляет и прочие баги в ПО. Известный исследователь безопасности ПО машин Charlie Miller (0xcharlie) призвал пользователей обязательно установить это обновление. Структура обновления имеет следующий вид. Для получения обновления следует пройти по этой ссылке и указать свой идентификатор VIN. Источник

  • 21 Июля 2015 » (аналитика) Компьютерные атаки на критическую инфраструктуру вскоре смогут стать причиной человеческих смертей
    По мнению IT-экспертов, ключом к обеспечению надлежащей защиты является сотрудничество бизнеса и властей.

  • 20 Июля 2015 » WAF от Positive Technologies в квадрате Gartner
    Компания Positive Technologies со своим решением PT Application Firewall попала в опубликованный на днях магический квадрат Gartner Magic Quadrant for Web Application Firewalls (WAF) 2015, правда сами разработчики позиционируют его без акцента на Web.

  • 17 Июля 2015 » (уязвимость) В промышленном устройстве Siemens обнаружен баг обхода аутентификации
    [box type=”info” style=”rounded”]Публикация в ICS-CERT: Advisory (ICSA-15-176-01)[/box] Уязвимость обхода аутентификации в устройстве Siemens, применяемом для автоматизации в энергетике, может позволить злоумышленникам получить контроль над устройством. Баг обнаружился в Siemens SICAM MIC, небольшой системе удаленного управления, которая выполняет ряд функций, в том числе содержит интегрированный веб-сервер. «Устройство состоит из главного элемента управления и различных модулей ввода-вывода, оно разработано для установки на направляющие DIN. Главный элемент управления служит для взаимодействия и обеспечения работы модулей ввода-вывода и содержит телекоммуникационный интерфейс», — говорится в документации Siemens на это устройство. Исследователь Филипп Ошлан (Philippe Oechslin) из Objectif Sécurité обнаружил возможность обхода аутентификации в устройствах SICAM MIC и сообщил об этом компании, которая выпустила обновленную версию прошивки, где эта проблема отсутствует. «Злоумышленники, имеющие сетевой доступ к веб-интерфейсу устройства (порт 80/TCP), могут обойти аутентификацию и выполнить административные действия. Легитимный пользователь должен быть аутентифицирован в веб-интерфейсе, чтобы атака была успешной», — говорится в оповещении от ICS-CERT. Для исправления уязвимости Siemens выпустила микропрограмму V2404. Данный баг может быть эксплуатирован удаленно, но, согласно оповещению ICS-CERT, пока нет известных публичных эксплойтов для него. Источник