Свежие посты   По годам   По датам
  • 18 Июня 2015 » (аналитика) Пять базовых мер обеспечения кибербезопасности на предприятии
    [box type=”info” style=”rounded”]Оригинал статьи: Five ways SCADA security should be improved[/box]

  • 18 Июня 2015 » (уязвимость) За кем слежка? Незащищенные городские камеры могут стать орудием злоумышленников
    После изучения способов передачи информации в городских системах видеонаблюдения, «Лаборатория Касперского» и американская IT-компания Exigent Systems пришли к выводу, что изначально используемые в благих целях инструменты могут довольно легко оказаться «не в тех руках» и начать, таким образом, работать против общественного благополучия. Исследование было проведено в рамках инициативы Securing Smart Cities – международного некоммерческого проекта, объединяющего различные государственные, общественные и коммерческие организации с целью решения проблем информационной безопасности современных городов. Как выяснили эксперты, передача потока видеоданных с городских камер осуществляется по беспроводной ячеистой сети (mesh-network), то есть изображение с конкретной видеокамеры поступает не напрямую в полицейский участок, а передается с одного ближайшего узла сети на другой, пока в конце концов не достигнет конечного пункта. Безусловно, такой способ передачи данных в масштабах города является наиболее оптимальным на сегодняшний день, однако исследование выявило ряд уязвимостей этого метода, которые дают злоумышленникам возможность совершить атаку по схеме «человек посередине». К примеру, киберпреступники могут обмануть систему, сообщив ячеистой сети ложную информацию о том, что полицейский участок находится у них в зоне видимости, и именно через их узел будут передаваться данные. Подобный сценарий атаки возможен в том случае, если у злоумышленников есть такое же оборудование и программное обеспечение, какие используются в легальной сети. А поскольку, как выяснилось в ходе исследования, все оборудование, применяемое в городских системах видеонаблюдения, никто даже не пытается замаскировать, хакеры легко могут идентифицировать устройства и получить всю нужную об их работе информацию. Подключившись же к сети передачи данных, киберпреступники могут легко манипулировать видеоинформацией в своих интересах. Данные с видеокамер сегодня передаются в незашифрованном виде, благодаря чему злоумышленники могут подменить реальную картинку с камеры на заранее записанный сюжет и прикрыть таким образом свои незаконные действия. «Неприятная правда состоит в том, что в наши дни все вокруг взаимосвязано: при повсеместном внедрении новых технологий и в процессе модернизации старых неизбежно появляются различные уязвимости. Помимо систем видеонаблюдения, работу которых мы проанализировали, существует множество других критически важных систем, уязвимых для атак, – рассказывает Василиос Хиоуреас, антивирусный эксперт «Лаборатории Касперского». – Сегодня идет настоящая гонка на опережение: «хорошие парни» должны успевать проверять безопасность новых систем, чтобы «плохие» не могли использовать их слабые места в своих преступных целях. Наша задача – не останавливаться на достигнутом и продолжать делать мир безопаснее». С подробным исследованием уязвимостей систем городского видеонаблюдения и способами усиления безопасности таких систем можно ознакомиться на официальном аналитическом ресурсе «Лаборатории Касперского» по адресу: www.securelist.ru/blog/issledovaniya/25704/gollivudskij-scenarij-nezashhishhennye-sistemy-videonablyudeniya/. Источник

  • 16 Июня 2015 » (уязвимость) GarrettCom Magnum Series Devices Vulnerabilities
    OVERVIEW Ashish Kamble of Qualys Security and Eireann Leverett have identified authentication, denial of service, and cross-site scripting vulnerabilities in GarrettCom’s Magnum 6k and Magnum 10k product lines. GarrettCom has produced new firmware versions to mitigate these vulnerabilities. Ashish Kamble has tested the newest version to validate that it resolves the vulnerabilities he reported. These vulnerabilities could be exploited remotely. AFFECTED PRODUCTS The following GarrettCom products are affected: Magnum 6K product line, all versions prior to 4.5.6, and Magnum 10K product line, all versions prior to 4.5.6. IMPACT An attacker who exploits these vulnerabilities may be able to remotely execute arbitrary code on the target device or cause the device to reboot. Impact to individual organizations depends on many factors that are unique to each organization. NCCIC/ICS-CERT recommends that organizations evaluate the impact of these vulnerabilities based on their operational environment, architecture, and product implementation. BACKGROUND GarrettCom is a US-based company that maintains offices also in Europe. The Magnum MNS-6K Management Software provides device management for the Magnum 6K line of managed Ethernet switches. According to GarrettCom, the 6K line of switches are deployed across several sectors including Critical Manufacturing, Defense Industrial Base, Energy, Transportation Systems, and Water and Wastewater Systems. GarrettCom estimates that these products are used primarily in the United States with a small percentage in Europe and Asia, though they are available worldwide. Источник: ICS-CERT Advisory (ICSA-15-167-01)

  • 16 Июня 2015 » (аналитика) Горячая кибервойна. Хакеры и ракетные установки
    Одним из самых зрелищных элементов соревновательной программы форума PHDays V, прошедшего в конце мая в Москве, стал конкурс, представленный компанией Advantech. Участники должны были захватить контроль над промышленной системой управления, связанной с ракетной установкой, и произвести выстрел по «секретному объекту».

  • 16 Июня 2015 » [книга] 5 задач из сборника для тренировки мозга
    На праздниках в качестве развлечения бегло прорешали с супругой задачи из книги Чарльза Филлипса  ”Быстрое и нестандартное мышление: 50+50 задач для тренировки навыков успешного человека“ издательства Эксмо, Москва. К книге есть ряд претензий, но некоторые задачи мне понравились, так что 5 из них отобрал для этого поста. Начну с критики - книга очень небрежно переведена, в некоторых условиях допущены ошибки, существенно влияющие на суть задачи. Забавно, но в ответах (а они порой достаточно развёрнутые, так как содержат дополнительные подсказки), ошибок не обнаружил =) Сама книга состоит из двух частей: 50 задач для тренировки быстрого мышления и 50 задач для тренировки нестандартного мышления. Честно говоря, деление весьма условное, а вот то, что внутри каждого из разделов задачи разделены на блоки с нарастающей сложностью (лёгкие, средние и сложные) - это удобно. Тем более, что некоторые задачи являются продолжением друг друга и можно действительно потренироваться, постепенно решая всё более сложные варианты. Например, удалось действительно понять принцип того, как надо решать задачи на разделение фигуры сложной формы на одинаковые части. Вот такого, например, плана: [caption id=”attachment_6849” align=”aligncenter” width=”700”] Как сделать два разреза?[/caption] В принципе, после некоторой тренировки такие визуальные задачи можно научиться решать в уме, даже не прибегая к помощи линейки и карандаша, но вот задач, которые требуют долго что-то записывать, вычислять, перебирать варианты и умножать столбиком/калькулятором, к сожалению, в книге слишком много. Конечно, это всё тоже тренировка, но совсем иное удовольствие получаешь всё же от решения в уме и без помощи дополнительных инструментов. Именно такие задачи (из обеих частей) книги и привожу ниже. Сразу оговорюсь, что условия приведены в моей формулировке и не всегда дословно совпадают с текстом книги, так как некоторые неточности захотелось исправить, а лишнюю информацию (типа имён персонажей Хавьер, Филомена и пр.) удалить. 1. Чашечные весы На самом деле, это три задачи с одинаковым общим начальным условием: даны двое уравновешенных чашечных весов А и Б, на которых лежат шарики, кубики и звёздочки. Третьи весы В не в равновесии, так как пока предметы лежат только на левой чаше. Сколько кубиков надо положить на правую чашу весов В, чтобы они пришли в равновесие? Вес всех шариков одинаков, вес всех кубиков одинаков, вес всех звёздочек одинаков. Кубиков имеется достаточное количество. [caption id=”attachment_6839” align=”aligncenter” width=”700”] Задача про чашечные весы №1[/caption] [caption id=”attachment_6841” align=”aligncenter” width=”700”] Задача про чашечные весы №2[/caption] [caption id=”attachment_6840” align=”aligncenter” width=”700”] Задача про чашечные весы №3[/caption] Красота этих задач в том, что их можно решить без составления уравнений, а при желании и вовсе в уме, хотя в книге такого варианта не предполагается. При этом третью задачу в уме решить даже проще, чем первые две, хотя по идее она как раз самая сложная. 2. Арифметическое выражение Что нужно сделать, чтобы из представленного на рисунке арифметического выражения получить корректное математическое уравнение? Какое минимальное количество палочек при этом надо переложить? [caption id=”attachment_6842” align=”aligncenter” width=”600”] Задача с арифметическим выражением[/caption] 3. Числовой код Несложная задача, но с интересной логикой. Нужно разгадать закономерность и подставить вместо вопросительных знаков отсутствующие числа: 1 8 15 22 29 5 ? 19 26 5 12 19 26 2 9 16 23 ? 7 14 4. Квадрат Как сделать два прямых разреза одинаковой длины, а затем переставить все кусочки так, чтобы получился полный квадрат? [caption id=”attachment_6843” align=”aligncenter” width=”700”] Квадрат[/caption] Эту задачу в уме решить совсем непросто, а с карандашом и листочком полегче. 5. Неожиданный ракурс Чтобы представление о книге было более полным, закончу визуальной задачей, хотя в ней разве что под номером 2 неплохая загадка. Вопрос простой: что изображено на рисунках? [caption id=”attachment_6844” align=”aligncenter” width=”595”] Что изображено на рисунках?[/caption] [hr] На самом деле, в книге мне понравилось ещё несколько задач, там была даже одна из моих самых любимых - про лампочку и три выключателя (про неё уже как-то писал: Логические задачи на собеседовании), но в целом я бы книге поставил три бала из пяти. Бывают и поинтереснее сборники. Ответы традиционно сразу не привожу, чтобы не портить удовольствие тем, кто захочет попробовать эти задачи решить.

  • 11 Июня 2015 » ИБ решения для АСУ ТП. Часть 2.
    Со времени публикации в марте первой части краткого обзора по ИБ решениям для АСУ ТП размещённая на SlideShare соответствующая презентация набрала больше тысячи семисот просмотров, что, конечно, стимулирует к продолжению темы.

  • 10 Июня 2015 » (уязвимость) Уязвимость в инфузионных помпах позволяет ввести смертельную дозу лекарства
    Хакер Билли Райос (Billy Rios) продолжает изучать безопасность медицинского оборудования производства американской компании Hospira. В частности, систему управления инфузионными помпами этой фирмы, 400 000 которых установлено в больницах по всему миру. Ещё в мае 2014 года Райос сообщил в Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) о ряде уязвимостей в системе управления инфузионной помпой PCA 3 Lifecare производства Hospira. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств. Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча. В апреле 2015 года другой независимый исследователь огласил некоторые из этих уязвимостей на широкую публику, после чего поднялся небольшой переполох. Даже FDA обратила внимание и выпустила предупреждение. Билли Райос сообщил компании Hospira, что уязвимости могут присутствовать и в других моделях инфузионных помп, а не только в PCA 3 Lifecare, поскольку у них схожие прошивки и программное обеспечение. Но компания не выразила желание проводить исследование. Хакер потратил год, закупив оборудование за собственные средства, и проведя подробный аудит. Выяснилось, что многие модели помп Hospira используют абсолютно такое же ПО, так что подвержены тем же самым уязвимостям. Баги подтверждены для следующих моделей: PCA 3 Lifecare PCA 5 Lifecare Plum A+ PCA Lifecare Symbiq Скорее всего, уязвимы и другие модели, хотя это ещё не подтверждено: Plum A+ Plum 360 Sapphire Sapphire Plus Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу telnet коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей). Райос подробно разобрался, какие возможности открывает эксплуатация упомянутых уязвимостей. Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через интернет, если злоумышленнику удастся войти в больничную локальную сеть. На практике Билли Райос продемонстрирует атаку на конференции по безопасности SummerCon, которая состоится в июле 2015 года в Нью-Йорке. Источник: https://xakep.ru/2015/06/10/hospira/

  • 10 Июня 2015 » Почему в промышленных сетях гуляют вирусы?
    В ходе проводимых аудитов информационной безопасности АСУ ТП порой в промышленных сегментах сетей можно встретить заражённые вредоносным программным обеспечением рабочие места операторов, а то и серверы. При этом никто особо не спешит их лечить. В публикациях и презентациях по теме информационной безопасности АСУ ТП много говорится об отличиях промышленных и офисных систем, при этом чаще всего отмечается, что важнейшим из них является необходимость обеспечивать не конфиденциальность и даже не целостность информации, а непрерывность технологического процесса. Именно это требование в совокупности с риск-ориентированным подходом и позволяет вирусам спокойно существовать в сетях АСУ ТП от одного окна технологического обслуживания до другого, а то и дольше. На вчерашнем семинаре по информационной безопасности промышленных систем автоматизации и управления на принесённом представителем площадки презентационном ноутбуке за полтора часа до начала мероприятия обнаружился autorun-вирус (привет, Stuxnet! 😃), скрывающий все файлы и папки на подключаемых флешках (помечал их как защищённые системные) и заменяющий их на ярлыки. [caption id=”attachment_6743” align=”aligncenter” width=”550”] autorun-вирус[/caption] Конечно, презентационный ноутбук не является ярким примером автоматизированной системы управления, но вчера, с учётом оставшегося времени, нам тоже важнее было не удалить этот вирус, а обеспечить непрерывность процесса показа презентаций. Подключение своего ноутбука потребовало бы перенастройки презентационного оборудования и аудиосистемы, установленный на заражённом ноутбуке антивирус даже после обновления баз помочь не смог, ровно как и скачанная утилита лечения. С проблемой, нерешаемой техническими средствами защиты, в итоге справились штатными средствами и компенсирующими организационными мерами: в настройках проводника Windows включили отображение системных файлов, а для копирования презентаций и роликов с других флешек использовали промежуточный чистый ноутбук и ещё одну флешку, отданную вирусу на растерзание. [caption id=”attachment_6745” align=”aligncenter” width=”392”] Показать системные файлы[/caption] В итоге проблема была обойдена, хотя вирус никуда не делся, т.е. уязвимость не была устранена окончательно, зато негативное воздействие было снижено до приемлемого уровня. Ровно также вынужден бывает поступать и персонал, ответственный за эксплуатацию промышленных систем автоматизации и управления: да, вредоносное ПО есть и оно даже приводит к каким-то сбоям (например, рабочие станции время от времени перезагружаются), но это негативное влияние в целом приемлемо и вред от остановки идущего технологического процесса для запуска антивирусного сканирования на всех компьютерах в сети будет существенно больше. Так и работают операторы на заражённых компьютерах, оставляя их лечение до лучших времён. С подходом к риску при защите критической информации в системах управления как к совокупности угрозы, уязвимости и последствий можно ещё познакомиться в рамках онлайн курса ICS-CERT 100W.

  • 09 Июня 2015 » (уязвимость) Исследователи обнаружили CSRF-баг в программном обеспечении ветрогенератора
    Ветряные электрогенераторы в последнее время стали в огромных количествах появляться в Соединенных Штатах, и многие из них подключены к Интернету. Это, конечно же, значит, что эти генераторы становятся естественными целями как для хакеров, так и для безопасников.   Исследователь-безопасник обнаружил уязвимость межсайтовой подделки запроса (CSRF) в операционной системе ветрогенераторов производства компании XZERES. Эта уязвимость может позволить злоумышленнику отключать подачу энергии ко всем системам, подключенным к целевой системе. Уязвимость содержится в системе, работающей на ветрогенераторе модели 442SR. Компания XZERES, выпускающая данные генераторы, оповестила об этом своих клиентов в ряде стран, включая США, Великобританию, Италию, Японию, Вьетнам и другие. «Успешная эксплуатация этой уязвимости позволяет извлекать из браузера ID и изменять ID по умолчанию. Этот эксплойт может вызвать потерю энергоснабжения всех подключенных систем, — говорится в оповещении от ICS-CERT. — ОС 442SR распознает методы ввода данных и POST и GET. Используя метод GET, злоумышленник может извлечь ID из браузера и изменить ID пользователя по умолчанию. Пользователь по умолчанию имеет права администратора для всей системы». XZERES 442SR относится к наименьшим по размеру ветрогенераторам, это не массивный ветряк, из которых составляют большие ветрогенераторные фермы. Компания определяет его как высокоэффективный малый генератор. «Ветрогенератор XZERES 442ST разработан для генерирования дешевой возобновляемой энергии за счет высокой эффективности, надежности и долговечности. Его простая конструкция с несколькими движущимися частями снижает расходы на обслуживание и ремонт, а также обеспечивает легкость установки», — говорится в описании продукта на сайте компании. Хотя пока эксплойт для этой уязвимости не был обнаружен, оповещение ICS-CERT говорит, что создать его несложно. «Создать работающий эксплойт для этой уязвимости было бы легко. Конкретно для этой уязвимости нет публичного эксплойта. Тем не менее в онлайне имеется код, который легко можно модифицировать для инициации CSRF с этой уязвимостью», — говорится в оповещении. Компания разработала патч для этой уязвимости CSRF, но его нужно устанавливать вручную. Источник: https://threatpost.ru/2015/06/09/researcher-finds-csrf-bug-in-wind-turbine-software/

  • 05 Июня 2015 » Коротко про конференцию Безопасность КВО ТЭК
    Кратко поделюсь впечатлениями о прошедшей вчера конференции Безопасность критически важных объектов топливно-энергетического комплекса. Участники. Как заявил во вступительном слове Юрий Малинин, в списке регистраций было 220 человек. Простой оценочный подсчёт людей в зале во время первой утренней сессии мероприятия дал 130-140 человек, плюс часть посетителей приезжала в течение дня. По составу, на мой взгляд, был хороший баланс между заказчиками и поставщиками решений, в чём, конечно, большая заслуга организаторов. Доклады. Регуляторы говорили о своей текущей деятельности, в том числе нормотворческой. В целом можно отметить, что тема безопасности продолжает быть в фокусе внимания и Минэнерго и ФСТЭК, хотя первые традиционно больше уделяют внимание безопасности физической и антитеррорестической, а вторые - информационной. Из забавного запомнился вопрос представителя Минэнерго представителю ФСТЭК о том, являются ли требования 31-го приказа ФСТЭК обязательными. Ответ был, как это часто принято, размытым, с отсылками к самому приказу. Хотя, в общем-то, понятно же, что до принятия соответствующего Федерального Закона, можно говорить лишь о рекомендациях, несмотря на регистрацию приказа в Минюсте и общем ажиотаже вокруг него. Поставщики же решений и представители интеграторов в целом говорили очень похожие вещи, делая акцент на одних и тех же моментах, что, пожалуй, позволяет сделать вывод о примерно одинаковом понимании ими проблематики. Это приятно, откровенных глупостей не говорит уже никто. Спикеры. Как ни странно, всего лишь второй раз в жизни присутствовал на выступлении Алексея Лукацого и первый раз - на всём выступлении целиком (года три назад застал лишь часть на одном из форумов). Собственно, никаких вопросов, почему Алексея так любят приглашать организаторы различных мероприятий, не возникает: он действительно отлично выступает и обладает крайне разносторонними предметными знаниями. Также понравился доклад представителя Digital Security про разработку эксплойтов для АСУ ТП - практические примеры атак всегда интереснее умственных теоретизирований. С аналогичной темой коллеги из Digital Security будут выступать и 9 июня на семинаре УЦСБ, так что приглашаю послушать. Ну, и конечно, нельзя не отметить доклад представителя Мосэнерго про взгляд на ИБ КВО ТЭК со стороны докладчика. С учётом всех ограничений на разглашение информации, мнение “с той стороны баррикад” всё равно было интересным. Презентации организаторы пообещали сделать доступными в течение нескольких дней, хотя, видимо, только непосредственно для участников, но, с другой стороны, мероприятий по этой теме сейчас хватает и в курсе последних новостей быть не сложно. Для тех же, кому удобнее онлайн формат общения, Антон Шипулин сделал соответствующую подборку: Онлайн сообщества/площадки по безопасности АСУ ТП.