Свежие посты   По годам   По датам
  • 09 Июня 2015 » (уязвимость) Исследователи обнаружили CSRF-баг в программном обеспечении ветрогенератора
    Ветряные электрогенераторы в последнее время стали в огромных количествах появляться в Соединенных Штатах, и многие из них подключены к Интернету. Это, конечно же, значит, что эти генераторы становятся естественными целями как для хакеров, так и для безопасников.   Исследователь-безопасник обнаружил уязвимость межсайтовой подделки запроса (CSRF) в операционной системе ветрогенераторов производства компании XZERES. Эта уязвимость может позволить злоумышленнику отключать подачу энергии ко всем системам, подключенным к целевой системе. Уязвимость содержится в системе, работающей на ветрогенераторе модели 442SR. Компания XZERES, выпускающая данные генераторы, оповестила об этом своих клиентов в ряде стран, включая США, Великобританию, Италию, Японию, Вьетнам и другие. «Успешная эксплуатация этой уязвимости позволяет извлекать из браузера ID и изменять ID по умолчанию. Этот эксплойт может вызвать потерю энергоснабжения всех подключенных систем, — говорится в оповещении от ICS-CERT. — ОС 442SR распознает методы ввода данных и POST и GET. Используя метод GET, злоумышленник может извлечь ID из браузера и изменить ID пользователя по умолчанию. Пользователь по умолчанию имеет права администратора для всей системы». XZERES 442SR относится к наименьшим по размеру ветрогенераторам, это не массивный ветряк, из которых составляют большие ветрогенераторные фермы. Компания определяет его как высокоэффективный малый генератор. «Ветрогенератор XZERES 442ST разработан для генерирования дешевой возобновляемой энергии за счет высокой эффективности, надежности и долговечности. Его простая конструкция с несколькими движущимися частями снижает расходы на обслуживание и ремонт, а также обеспечивает легкость установки», — говорится в описании продукта на сайте компании. Хотя пока эксплойт для этой уязвимости не был обнаружен, оповещение ICS-CERT говорит, что создать его несложно. «Создать работающий эксплойт для этой уязвимости было бы легко. Конкретно для этой уязвимости нет публичного эксплойта. Тем не менее в онлайне имеется код, который легко можно модифицировать для инициации CSRF с этой уязвимостью», — говорится в оповещении. Компания разработала патч для этой уязвимости CSRF, но его нужно устанавливать вручную. Источник: https://threatpost.ru/2015/06/09/researcher-finds-csrf-bug-in-wind-turbine-software/

  • 05 Июня 2015 » Коротко про конференцию Безопасность КВО ТЭК
    Кратко поделюсь впечатлениями о прошедшей вчера конференции Безопасность критически важных объектов топливно-энергетического комплекса. Участники. Как заявил во вступительном слове Юрий Малинин, в списке регистраций было 220 человек. Простой оценочный подсчёт людей в зале во время первой утренней сессии мероприятия дал 130-140 человек, плюс часть посетителей приезжала в течение дня. По составу, на мой взгляд, был хороший баланс между заказчиками и поставщиками решений, в чём, конечно, большая заслуга организаторов. Доклады. Регуляторы говорили о своей текущей деятельности, в том числе нормотворческой. В целом можно отметить, что тема безопасности продолжает быть в фокусе внимания и Минэнерго и ФСТЭК, хотя первые традиционно больше уделяют внимание безопасности физической и антитеррорестической, а вторые - информационной. Из забавного запомнился вопрос представителя Минэнерго представителю ФСТЭК о том, являются ли требования 31-го приказа ФСТЭК обязательными. Ответ был, как это часто принято, размытым, с отсылками к самому приказу. Хотя, в общем-то, понятно же, что до принятия соответствующего Федерального Закона, можно говорить лишь о рекомендациях, несмотря на регистрацию приказа в Минюсте и общем ажиотаже вокруг него. Поставщики же решений и представители интеграторов в целом говорили очень похожие вещи, делая акцент на одних и тех же моментах, что, пожалуй, позволяет сделать вывод о примерно одинаковом понимании ими проблематики. Это приятно, откровенных глупостей не говорит уже никто. Спикеры. Как ни странно, всего лишь второй раз в жизни присутствовал на выступлении Алексея Лукацого и первый раз - на всём выступлении целиком (года три назад застал лишь часть на одном из форумов). Собственно, никаких вопросов, почему Алексея так любят приглашать организаторы различных мероприятий, не возникает: он действительно отлично выступает и обладает крайне разносторонними предметными знаниями. Также понравился доклад представителя Digital Security про разработку эксплойтов для АСУ ТП - практические примеры атак всегда интереснее умственных теоретизирований. С аналогичной темой коллеги из Digital Security будут выступать и 9 июня на семинаре УЦСБ, так что приглашаю послушать. Ну, и конечно, нельзя не отметить доклад представителя Мосэнерго про взгляд на ИБ КВО ТЭК со стороны докладчика. С учётом всех ограничений на разглашение информации, мнение “с той стороны баррикад” всё равно было интересным. Презентации организаторы пообещали сделать доступными в течение нескольких дней, хотя, видимо, только непосредственно для участников, но, с другой стороны, мероприятий по этой теме сейчас хватает и в курсе последних новостей быть не сложно. Для тех же, кому удобнее онлайн формат общения, Антон Шипулин сделал соответствующую подборку: Онлайн сообщества/площадки по безопасности АСУ ТП.

  • 04 Июня 2015 » Бесплатный онлайн курс ICS-CERT по защите критической информации в системах управления (100W)
    На сайте ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) можно бесплатно пройти курсы по обеспечению безопасности информации в критических инфраструктурах. В настоящее время доступны два онлайн курса: 100W - Operational Security (OPSEC) for Control Systems 210W - Cybersecurity for Industrial Control Systems Первый из них достаточно простой и посвящён общим вопросам: типы и мотивация злоумышленников, используемые ими техники получения критической информации, а также основные способы защиты (рассматривается физическая и информационная составляющие). В курс встроено три несложных игры на проверку степени понимания материала, в одной из которых нужно действовать от лица злоумышленника и получить доступ к критической информации, а в двух других в реальной обстановке сначала диспетчерской, а потом жилого дома найти допущенные ошибки, потенциально ведущие к инцидентам. В целом, материал несложный и, надо признать, немного устаревший. Судя по упоминаемым технологиям и приводимым примерам, курс датируется примерно 2008 годом, но с другой стороны принципиально с того времени в базовых подходах мало что поменялось. Курс был бы хорош для тренинга персонала в рамках повышения осведомлённости, но для российских реалий есть существенное препятствие в виде используемого языка (английский), а также незначительные, но всё же присутствующие отсылки к законодательству США. Немного выбивается за рамки такого общего курса для всех рекомендуемый циклический пятиступенчатый подход к организации OPSEC (operations security), хотя и тут всё изложено просто и наглядно. [caption id=”attachment_6693” align=”aligncenter” width=”333”] Процесс OPSEC[/caption] Особенно мне понравилось объяснение риска через совокупность угрозы, уязвимости и последствий и, в частности, акцент на том, что без потенциальных негативных последствий нет смысла говорить о риске. [caption id=”attachment_6703” align=”aligncenter” width=”320”] Risk = Threat x Vulnerability x Consequence[/caption] Выкладываю краткий конспект курса в виде встроенной майндкарты (прямая ссылка). Кликнув на майндкарту, можно начать её масштабировать и прокручивать. Некоторые ветки третьего и ниже уровня скрыты за плюсами (+). Версию в формате PDF-файла можно скачать на SlideShare. Your browser is not able to display frames. Please visit the mind map: OPSEC 100W - Operational Security for Control Systems by ICS-CERT on Mind Mapping - MindMeister. Несмотря на то, что во всех играх предусмотрено неограниченное число попыток и как таковой итоговой оценки знаний не происходит, по завершению обучения выдаётся сертификат: Второй курс от ICS-CERT (210W) и по заявленной продолжительности (15 часов вместо одного часа) и по своей тематике представляется более практическим и интересным. Но о нём подробнее расскажу в одном из следующих постов. Повысить уровень своих знаний по информационной безопасности в АСУ ТП можно также на одном из ближайших мероприятий по этой тематике.

  • 02 Июня 2015 » McAfee и Cisco покинули квадрант лидеров среди web-шлюзов
    В квадратах Gartner в последнее время наметилась тенденция к практически неизменному составу лидеров год от года. По крайней мере, среди IPS, корпоративных межсетевых экранов и решений для защиты конечных точек это так. Тем любопытнее перемены в свежем квадрате Magic Quadrant for Secure Web Gateways 2015 (G00267241). [caption id=”attachment_6671” align=”aligncenter” width=”608”] Magic Quadrant for Secure Web Gateways 2015 (G00267241)[/caption] Сразу два лидера - Cisco и Intel Security (McAfee) перемещены из квадранта Лидеров в соседний квадрант Претенденты. Ниже представлена сводная картина по квадратам для Secure Web Gateway за три последних года. [caption id=”attachment_6695” align=”aligncenter” width=”750”] Gartner Magic Quadrants for Secure Web Gateways 2013-2015[/caption] Для оценки российской ситуации, понятно, что расстановку игроков на мировом рынке нельзя просто так экстраполировать на наши реалии. Присутствуют местные игроки (Entensys, Ideco и пр.), а тот же Zscaler у нас крайне не популярен. Подозреваю, что по причине того, что компания специализируется на облачных сервисах безопасности, мало распространённых на нашем зарегулированном рынке. Ирония в том, что именно отсутствие/наличие сильного (по мнению Gartner) облачного решения влияет сейчас на расстановку сил на мировой арене web-шлюзов безопасности сильнее всего. Полный список участников квадрата Secure Web Gateway 2015 (для удобства текстового поиска) выглядит так: лидеры: Zscaler, Blue Coat, Websense претенденты: Cisco, Intel Security (McAfee) нишевые игроки: Trend Micro, Barracuda Networks, iboss, ContentKeeper, Symantec, Sophos, Trustwave, Sangfor Остальные квадраты Gartner доступны в соответствующем разделе сайта.

  • 01 Июня 2015 » (презентация) Построение САМСИБ АСУ
    28 мая в Волгограде компания “ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ” проводила конференцию “Безопасность промышленных систем автоматизации и управления” с участием ИнфоВотч, Лаборатории Касперского, УЦСБ и Cisco. Выкладываю свою презентацию про Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления. Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления from Alexey Komarov Также выкладываю брошюру про комплекс оперативного мониторинга и контроля защищенности АСУ ТП - DATAPK. Брошюра DATAPK from Alexey Komarov Презентации других участников доступны по ссылке. Организаторы обещают выложить и видеозаписи после их обработки. Ещё из ближайших мероприятий по теме информационной безопасности АСУ ТП: 04 июня. Москва. Безопасность критически важных объектов ТЭК 09 июня. Москва. Информационная безопасность промышленных систем автоматизации и управления 16 июня. Екатеринбург. Информационная безопасность промышленных систем автоматизации и управления

  • 30 Мая 2015 » (инцидент) США пытались атаковать ядерные силы КНДР с помощью вируса в 2010 году
    Соединенные Штаты в 2010 году пытались атаковать ядерные силы КНДР с помощью компьютерного вируса, сообщает Reuters со ссылкой на источник в разведке США.

  • 27 Мая 2015 » ИБ АСУ ТП на PHDays
    Тема информационной безопасности промышленных систем автоматизации не была центральной на Positive Hack Days, но в ряду других была представлена достаточно широко, хотя и концентрировалась преимущественно в первом дне мероприятия.

  • 25 Мая 2015 » Порция квадратов от Gartner
    Конец мая, конечно, не самое лучшее время для обновления подборки квадратов Гартнера - в ближайшие пару месяцев как раз пройдёт очередной массовый выпуск ежегодных версий существенного их количества из моей общей подборки, но так как мне потребовалось некоторые из них освежить именно сейчас, то поделюсь текущими обновлениями конца 2014 - начала 2015. Помимо изучения текущих версий квадратов, полезно бывает посмотреть на них в ретроспективе. Например, история значимых поглощений и слияний последних пары лет красноречиво представлена в подборках квадратов Gartner Magic Quadrants for Intrusion Prevention Systems за 2013-14 и Gartner Magic Quadrants for Enterprise Network Firewalls за 2013-15. Тут и Cisco с Sourcefire, и триада Stonesoft - McAfee - Intel Security, и даже формула Arcoon + NETASQ = Stormshield. [caption id=”attachment_6606” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Intrusion Prevention Systems 2013-2014[/caption] [caption id=”attachment_6607” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Enterprise Network Firewalls 2013-2015[/caption] Более драматична динамика квадратов решений для защиты конечных точек: и игроков побольше и изменения более явные, хотя лидеры и здесь тоже из года в год не меняются. [caption id=”attachment_6608” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Endpoint Protection Platforms 2013-2014[/caption] Сами свежие квадраты доступны по этим ссылкам: Magic Quadrant for Intrusion Prevention Systems (декабрь 2014) Magic Quadrant for Enterprise Network Firewalls (апрель 2015) Magic Quadrant for Endpoint Protection Platforms (декабрь 2014) Полная подборка магических квадратов в соответствующем разделе сайта: https://zlonov.ru/gartner-magic-quadrants/

  • 22 Мая 2015 » Ближайшие мероприятия по ИБ АСУ ТП
    Период перед летним сезоном отпусков традиционно насыщен мероприятиями, а в силу популярности/популяризации темы безопасности АСУ ТП существенное их число либо включает в программу данную тематику либо и вовсе целиком посвящено исключительно ей. Ниже перечень ближайших событий, где будут обсуждаться вопросы ИБ в промышленных системах и смежных областях. Positive Hack Days 5 26-27 мая. Москва. Доклады по теме: атаки на SCADA, технологии защиты непрерывности процесса управления АСУ ТП, защита АСУ ТП от основных угроз. Плюс, традиционно для PHDays, конкурс по взлому - взлому комплекса средств безопасности на макете транспортной системы. Информационные технологии на службе оборонно-промышленного комплекса. 26–29 мая. Иннополис (Татарстан). Во второй день запланирована отдельная Секция 5. Информационная безопасность: нормативно-правовое обеспечение ИБ в АСУ, аттестация информационных систем, программные и аппаратные решения, импортонезависимость, анализ защищённости и некоторые другие вопросы. Безопасность промышленных систем автоматизации и управления 28 мая. Волгоград.  Мероприятие, проводимое ИЦ Региональные Системы, целиком (как следует из названия) посвящено вопросам безопасности. В рамках его буду выступать с докладом Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления. Расскажу о подходах к обеспечению ИБ действующих АСУ ТП - особенности, типовые решения ИБ и проблемы с ними, негативно влияющие на состояние защищённости АСУ ТП факторы и мероприятия для снижения степени их влияния. Всероссийская конференция ITSF 28-29 мая. Казань.  В программе 9-й конференции заявлено сразу несколько докладов по теме: защита критически важных объектов, защита информации в АСУ ТП, защита АСУ ТП подстанций и защита систем SCADA на нефтегазовых предприятиях. Безопасность критически важных объектов ТЭК 04 июня. Москва. Третья по счёту ежегодная конференция. Рассматриваемые вопросы: выполнение требований законодательства, категорирование и паспортизации объектов ТЭК, защита АСУ ТП объектов ТЭК от внешних и внутренних угроз, меры по снижению рисков ИБ на объектах ТЭК: рекомендации, стандарты и требования. Информационная безопасность промышленных систем автоматизации и управления 09 июня. Москва. Мероприятие, проводимое УЦСБ совместно с Hewlett-Packard, Лабораторией Касперского, CyberArk, Газинформсервис, Digital Security. Основные темы: общие подходы, конкретные продукты и решения, техники разработки эксплойтов, аудит ИБ и типовые проблемы, выявляемыми в ходе обследований промышленных объектов и АСУ ТП. В вводном докладе буду рассказывать о практическом опыте УЦСБ и основных подходах к обеспечению ИБ. Обязательно будет стенд c автоматизированным парковочным комплексом (здесь можно посмотреть ролик про него). Информационная безопасность промышленных систем автоматизации и управления 16 июня. Екатеринбург. Второе мероприятие УЦСБ из этой серии. Состав участников и темы докладов аналогичны мероприятию 09 июня в Москве, но запланировано больше практических демонстраций на стендах. Даже если какие-то мероприятия упустил из вида, период всё равно получается насыщенный. Подозреваю, что осенью будет ещё жарче!

  • 21 Мая 2015 » Презентация нового MaxPatrol SIEM
    Компания Positive Technologies сегодня провела пресс-конференцию для СМИ, блогеров и экспертов под общим названием “Как увидеть невидимые кибератаки?”. Ответ на данный вопрос предполагался достаточно очевидный - с помощью MaxPatrol SIEM.