Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
10
Июня
2015
» (уязвимость) Уязвимость в инфузионных помпах позволяет ввести смертельную дозу лекарства
Хакер Билли Райос (Billy Rios) продолжает изучать безопасность медицинского оборудования производства американской компании Hospira. В частности, систему управления инфузионными помпами этой фирмы, 400 000 которых установлено в больницах по всему миру. Ещё в мае 2014 года Райос сообщил в Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) о ряде уязвимостей в системе управления инфузионной помпой PCA 3 Lifecare производства Hospira. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств. Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча. В апреле 2015 года другой независимый исследователь огласил некоторые из этих уязвимостей на широкую публику, после чего поднялся небольшой переполох. Даже FDA обратила внимание и выпустила предупреждение. Билли Райос сообщил компании Hospira, что уязвимости могут присутствовать и в других моделях инфузионных помп, а не только в PCA 3 Lifecare, поскольку у них схожие прошивки и программное обеспечение. Но компания не выразила желание проводить исследование. Хакер потратил год, закупив оборудование за собственные средства, и проведя подробный аудит. Выяснилось, что многие модели помп Hospira используют абсолютно такое же ПО, так что подвержены тем же самым уязвимостям. Баги подтверждены для следующих моделей: PCA 3 Lifecare PCA 5 Lifecare Plum A+ PCA Lifecare Symbiq Скорее всего, уязвимы и другие модели, хотя это ещё не подтверждено: Plum A+ Plum 360 Sapphire Sapphire Plus Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу telnet коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей). Райос подробно разобрался, какие возможности открывает эксплуатация упомянутых уязвимостей. Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через интернет, если злоумышленнику удастся войти в больничную локальную сеть. На практике Билли Райос продемонстрирует атаку на конференции по безопасности SummerCon, которая состоится в июле 2015 года в Нью-Йорке. Источник: https://xakep.ru/2015/06/10/hospira/
10
Июня
2015
» Почему в промышленных сетях гуляют вирусы?
В ходе проводимых аудитов информационной безопасности АСУ ТП порой в промышленных сегментах сетей можно встретить заражённые вредоносным программным обеспечением рабочие места операторов, а то и серверы. При этом никто особо не спешит их лечить. В публикациях и презентациях по теме информационной безопасности АСУ ТП много говорится об отличиях промышленных и офисных систем, при этом чаще всего отмечается, что важнейшим из них является необходимость обеспечивать не конфиденциальность и даже не целостность информации, а непрерывность технологического процесса. Именно это требование в совокупности с риск-ориентированным подходом и позволяет вирусам спокойно существовать в сетях АСУ ТП от одного окна технологического обслуживания до другого, а то и дольше. На вчерашнем семинаре по информационной безопасности промышленных систем автоматизации и управления на принесённом представителем площадки презентационном ноутбуке за полтора часа до начала мероприятия обнаружился autorun-вирус (привет, Stuxnet! 😃), скрывающий все файлы и папки на подключаемых флешках (помечал их как защищённые системные) и заменяющий их на ярлыки. [caption id=”attachment_6743” align=”aligncenter” width=”550”] autorun-вирус[/caption] Конечно, презентационный ноутбук не является ярким примером автоматизированной системы управления, но вчера, с учётом оставшегося времени, нам тоже важнее было не удалить этот вирус, а обеспечить непрерывность процесса показа презентаций. Подключение своего ноутбука потребовало бы перенастройки презентационного оборудования и аудиосистемы, установленный на заражённом ноутбуке антивирус даже после обновления баз помочь не смог, ровно как и скачанная утилита лечения. С проблемой, нерешаемой техническими средствами защиты, в итоге справились штатными средствами и компенсирующими организационными мерами: в настройках проводника Windows включили отображение системных файлов, а для копирования презентаций и роликов с других флешек использовали промежуточный чистый ноутбук и ещё одну флешку, отданную вирусу на растерзание. [caption id=”attachment_6745” align=”aligncenter” width=”392”] Показать системные файлы[/caption] В итоге проблема была обойдена, хотя вирус никуда не делся, т.е. уязвимость не была устранена окончательно, зато негативное воздействие было снижено до приемлемого уровня. Ровно также вынужден бывает поступать и персонал, ответственный за эксплуатацию промышленных систем автоматизации и управления: да, вредоносное ПО есть и оно даже приводит к каким-то сбоям (например, рабочие станции время от времени перезагружаются), но это негативное влияние в целом приемлемо и вред от остановки идущего технологического процесса для запуска антивирусного сканирования на всех компьютерах в сети будет существенно больше. Так и работают операторы на заражённых компьютерах, оставляя их лечение до лучших времён. С подходом к риску при защите критической информации в системах управления как к совокупности угрозы, уязвимости и последствий можно ещё познакомиться в рамках онлайн курса ICS-CERT 100W.
09
Июня
2015
» (уязвимость) Исследователи обнаружили CSRF-баг в программном обеспечении ветрогенератора
Ветряные электрогенераторы в последнее время стали в огромных количествах появляться в Соединенных Штатах, и многие из них подключены к Интернету. Это, конечно же, значит, что эти генераторы становятся естественными целями как для хакеров, так и для безопасников. Исследователь-безопасник обнаружил уязвимость межсайтовой подделки запроса (CSRF) в операционной системе ветрогенераторов производства компании XZERES. Эта уязвимость может позволить злоумышленнику отключать подачу энергии ко всем системам, подключенным к целевой системе. Уязвимость содержится в системе, работающей на ветрогенераторе модели 442SR. Компания XZERES, выпускающая данные генераторы, оповестила об этом своих клиентов в ряде стран, включая США, Великобританию, Италию, Японию, Вьетнам и другие. «Успешная эксплуатация этой уязвимости позволяет извлекать из браузера ID и изменять ID по умолчанию. Этот эксплойт может вызвать потерю энергоснабжения всех подключенных систем, — говорится в оповещении от ICS-CERT. — ОС 442SR распознает методы ввода данных и POST и GET. Используя метод GET, злоумышленник может извлечь ID из браузера и изменить ID пользователя по умолчанию. Пользователь по умолчанию имеет права администратора для всей системы». XZERES 442SR относится к наименьшим по размеру ветрогенераторам, это не массивный ветряк, из которых составляют большие ветрогенераторные фермы. Компания определяет его как высокоэффективный малый генератор. «Ветрогенератор XZERES 442ST разработан для генерирования дешевой возобновляемой энергии за счет высокой эффективности, надежности и долговечности. Его простая конструкция с несколькими движущимися частями снижает расходы на обслуживание и ремонт, а также обеспечивает легкость установки», — говорится в описании продукта на сайте компании. Хотя пока эксплойт для этой уязвимости не был обнаружен, оповещение ICS-CERT говорит, что создать его несложно. «Создать работающий эксплойт для этой уязвимости было бы легко. Конкретно для этой уязвимости нет публичного эксплойта. Тем не менее в онлайне имеется код, который легко можно модифицировать для инициации CSRF с этой уязвимостью», — говорится в оповещении. Компания разработала патч для этой уязвимости CSRF, но его нужно устанавливать вручную. Источник: https://threatpost.ru/2015/06/09/researcher-finds-csrf-bug-in-wind-turbine-software/
05
Июня
2015
» Коротко про конференцию Безопасность КВО ТЭК
Кратко поделюсь впечатлениями о прошедшей вчера конференции Безопасность критически важных объектов топливно-энергетического комплекса. Участники. Как заявил во вступительном слове Юрий Малинин, в списке регистраций было 220 человек. Простой оценочный подсчёт людей в зале во время первой утренней сессии мероприятия дал 130-140 человек, плюс часть посетителей приезжала в течение дня. По составу, на мой взгляд, был хороший баланс между заказчиками и поставщиками решений, в чём, конечно, большая заслуга организаторов. Доклады. Регуляторы говорили о своей текущей деятельности, в том числе нормотворческой. В целом можно отметить, что тема безопасности продолжает быть в фокусе внимания и Минэнерго и ФСТЭК, хотя первые традиционно больше уделяют внимание безопасности физической и антитеррорестической, а вторые - информационной. Из забавного запомнился вопрос представителя Минэнерго представителю ФСТЭК о том, являются ли требования 31-го приказа ФСТЭК обязательными. Ответ был, как это часто принято, размытым, с отсылками к самому приказу. Хотя, в общем-то, понятно же, что до принятия соответствующего Федерального Закона, можно говорить лишь о рекомендациях, несмотря на регистрацию приказа в Минюсте и общем ажиотаже вокруг него. Поставщики же решений и представители интеграторов в целом говорили очень похожие вещи, делая акцент на одних и тех же моментах, что, пожалуй, позволяет сделать вывод о примерно одинаковом понимании ими проблематики. Это приятно, откровенных глупостей не говорит уже никто. Спикеры. Как ни странно, всего лишь второй раз в жизни присутствовал на выступлении Алексея Лукацого и первый раз - на всём выступлении целиком (года три назад застал лишь часть на одном из форумов). Собственно, никаких вопросов, почему Алексея так любят приглашать организаторы различных мероприятий, не возникает: он действительно отлично выступает и обладает крайне разносторонними предметными знаниями. Также понравился доклад представителя Digital Security про разработку эксплойтов для АСУ ТП - практические примеры атак всегда интереснее умственных теоретизирований. С аналогичной темой коллеги из Digital Security будут выступать и 9 июня на семинаре УЦСБ, так что приглашаю послушать. Ну, и конечно, нельзя не отметить доклад представителя Мосэнерго про взгляд на ИБ КВО ТЭК со стороны докладчика. С учётом всех ограничений на разглашение информации, мнение “с той стороны баррикад” всё равно было интересным. Презентации организаторы пообещали сделать доступными в течение нескольких дней, хотя, видимо, только непосредственно для участников, но, с другой стороны, мероприятий по этой теме сейчас хватает и в курсе последних новостей быть не сложно. Для тех же, кому удобнее онлайн формат общения, Антон Шипулин сделал соответствующую подборку: Онлайн сообщества/площадки по безопасности АСУ ТП.
04
Июня
2015
» Бесплатный онлайн курс ICS-CERT по защите критической информации в системах управления (100W)
На сайте ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) можно бесплатно пройти курсы по обеспечению безопасности информации в критических инфраструктурах. В настоящее время доступны два онлайн курса: 100W - Operational Security (OPSEC) for Control Systems 210W - Cybersecurity for Industrial Control Systems Первый из них достаточно простой и посвящён общим вопросам: типы и мотивация злоумышленников, используемые ими техники получения критической информации, а также основные способы защиты (рассматривается физическая и информационная составляющие). В курс встроено три несложных игры на проверку степени понимания материала, в одной из которых нужно действовать от лица злоумышленника и получить доступ к критической информации, а в двух других в реальной обстановке сначала диспетчерской, а потом жилого дома найти допущенные ошибки, потенциально ведущие к инцидентам. В целом, материал несложный и, надо признать, немного устаревший. Судя по упоминаемым технологиям и приводимым примерам, курс датируется примерно 2008 годом, но с другой стороны принципиально с того времени в базовых подходах мало что поменялось. Курс был бы хорош для тренинга персонала в рамках повышения осведомлённости, но для российских реалий есть существенное препятствие в виде используемого языка (английский), а также незначительные, но всё же присутствующие отсылки к законодательству США. Немного выбивается за рамки такого общего курса для всех рекомендуемый циклический пятиступенчатый подход к организации OPSEC (operations security), хотя и тут всё изложено просто и наглядно. [caption id=”attachment_6693” align=”aligncenter” width=”333”] Процесс OPSEC[/caption] Особенно мне понравилось объяснение риска через совокупность угрозы, уязвимости и последствий и, в частности, акцент на том, что без потенциальных негативных последствий нет смысла говорить о риске. [caption id=”attachment_6703” align=”aligncenter” width=”320”] Risk = Threat x Vulnerability x Consequence[/caption] Выкладываю краткий конспект курса в виде встроенной майндкарты (прямая ссылка). Кликнув на майндкарту, можно начать её масштабировать и прокручивать. Некоторые ветки третьего и ниже уровня скрыты за плюсами (+). Версию в формате PDF-файла можно скачать на SlideShare. Your browser is not able to display frames. Please visit the mind map: OPSEC 100W - Operational Security for Control Systems by ICS-CERT on Mind Mapping - MindMeister. Несмотря на то, что во всех играх предусмотрено неограниченное число попыток и как таковой итоговой оценки знаний не происходит, по завершению обучения выдаётся сертификат: Второй курс от ICS-CERT (210W) и по заявленной продолжительности (15 часов вместо одного часа) и по своей тематике представляется более практическим и интересным. Но о нём подробнее расскажу в одном из следующих постов. Повысить уровень своих знаний по информационной безопасности в АСУ ТП можно также на одном из ближайших мероприятий по этой тематике.
02
Июня
2015
» McAfee и Cisco покинули квадрант лидеров среди web-шлюзов
В квадратах Gartner в последнее время наметилась тенденция к практически неизменному составу лидеров год от года. По крайней мере, среди IPS, корпоративных межсетевых экранов и решений для защиты конечных точек это так. Тем любопытнее перемены в свежем квадрате Magic Quadrant for Secure Web Gateways 2015 (G00267241). [caption id=”attachment_6671” align=”aligncenter” width=”608”] Magic Quadrant for Secure Web Gateways 2015 (G00267241)[/caption] Сразу два лидера - Cisco и Intel Security (McAfee) перемещены из квадранта Лидеров в соседний квадрант Претенденты. Ниже представлена сводная картина по квадратам для Secure Web Gateway за три последних года. [caption id=”attachment_6695” align=”aligncenter” width=”750”] Gartner Magic Quadrants for Secure Web Gateways 2013-2015[/caption] Для оценки российской ситуации, понятно, что расстановку игроков на мировом рынке нельзя просто так экстраполировать на наши реалии. Присутствуют местные игроки (Entensys, Ideco и пр.), а тот же Zscaler у нас крайне не популярен. Подозреваю, что по причине того, что компания специализируется на облачных сервисах безопасности, мало распространённых на нашем зарегулированном рынке. Ирония в том, что именно отсутствие/наличие сильного (по мнению Gartner) облачного решения влияет сейчас на расстановку сил на мировой арене web-шлюзов безопасности сильнее всего. Полный список участников квадрата Secure Web Gateway 2015 (для удобства текстового поиска) выглядит так: лидеры: Zscaler, Blue Coat, Websense претенденты: Cisco, Intel Security (McAfee) нишевые игроки: Trend Micro, Barracuda Networks, iboss, ContentKeeper, Symantec, Sophos, Trustwave, Sangfor Остальные квадраты Gartner доступны в соответствующем разделе сайта.
01
Июня
2015
» (презентация) Построение САМСИБ АСУ
28 мая в Волгограде компания “ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ” проводила конференцию “Безопасность промышленных систем автоматизации и управления” с участием ИнфоВотч, Лаборатории Касперского, УЦСБ и Cisco. Выкладываю свою презентацию про Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления. Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления from Alexey Komarov Также выкладываю брошюру про комплекс оперативного мониторинга и контроля защищенности АСУ ТП - DATAPK. Брошюра DATAPK from Alexey Komarov Презентации других участников доступны по ссылке. Организаторы обещают выложить и видеозаписи после их обработки. Ещё из ближайших мероприятий по теме информационной безопасности АСУ ТП: 04 июня. Москва. Безопасность критически важных объектов ТЭК 09 июня. Москва. Информационная безопасность промышленных систем автоматизации и управления 16 июня. Екатеринбург. Информационная безопасность промышленных систем автоматизации и управления
30
Мая
2015
» (инцидент) США пытались атаковать ядерные силы КНДР с помощью вируса в 2010 году
Соединенные Штаты в 2010 году пытались атаковать ядерные силы КНДР с помощью компьютерного вируса, сообщает Reuters со ссылкой на источник в разведке США.
27
Мая
2015
» ИБ АСУ ТП на PHDays
Тема информационной безопасности промышленных систем автоматизации не была центральной на Positive Hack Days, но в ряду других была представлена достаточно широко, хотя и концентрировалась преимущественно в первом дне мероприятия.
25
Мая
2015
» Порция квадратов от Gartner
Конец мая, конечно, не самое лучшее время для обновления подборки квадратов Гартнера - в ближайшие пару месяцев как раз пройдёт очередной массовый выпуск ежегодных версий существенного их количества из моей общей подборки, но так как мне потребовалось некоторые из них освежить именно сейчас, то поделюсь текущими обновлениями конца 2014 - начала 2015. Помимо изучения текущих версий квадратов, полезно бывает посмотреть на них в ретроспективе. Например, история значимых поглощений и слияний последних пары лет красноречиво представлена в подборках квадратов Gartner Magic Quadrants for Intrusion Prevention Systems за 2013-14 и Gartner Magic Quadrants for Enterprise Network Firewalls за 2013-15. Тут и Cisco с Sourcefire, и триада Stonesoft - McAfee - Intel Security, и даже формула Arcoon + NETASQ = Stormshield. [caption id=”attachment_6606” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Intrusion Prevention Systems 2013-2014[/caption] [caption id=”attachment_6607” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Enterprise Network Firewalls 2013-2015[/caption] Более драматична динамика квадратов решений для защиты конечных точек: и игроков побольше и изменения более явные, хотя лидеры и здесь тоже из года в год не меняются. [caption id=”attachment_6608” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Endpoint Protection Platforms 2013-2014[/caption] Сами свежие квадраты доступны по этим ссылкам: Magic Quadrant for Intrusion Prevention Systems (декабрь 2014) Magic Quadrant for Enterprise Network Firewalls (апрель 2015) Magic Quadrant for Endpoint Protection Platforms (декабрь 2014) Полная подборка магических квадратов в соответствующем разделе сайта: https://zlonov.ru/gartner-magic-quadrants/
Хакер Билли Райос (Billy Rios) продолжает изучать безопасность медицинского оборудования производства американской компании Hospira. В частности, систему управления инфузионными помпами этой фирмы, 400 000 которых установлено в больницах по всему миру. Ещё в мае 2014 года Райос сообщил в Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) о ряде уязвимостей в системе управления инфузионной помпой PCA 3 Lifecare производства Hospira. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств. Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча. В апреле 2015 года другой независимый исследователь огласил некоторые из этих уязвимостей на широкую публику, после чего поднялся небольшой переполох. Даже FDA обратила внимание и выпустила предупреждение. Билли Райос сообщил компании Hospira, что уязвимости могут присутствовать и в других моделях инфузионных помп, а не только в PCA 3 Lifecare, поскольку у них схожие прошивки и программное обеспечение. Но компания не выразила желание проводить исследование. Хакер потратил год, закупив оборудование за собственные средства, и проведя подробный аудит. Выяснилось, что многие модели помп Hospira используют абсолютно такое же ПО, так что подвержены тем же самым уязвимостям. Баги подтверждены для следующих моделей: PCA 3 Lifecare PCA 5 Lifecare Plum A+ PCA Lifecare Symbiq Скорее всего, уязвимы и другие модели, хотя это ещё не подтверждено: Plum A+ Plum 360 Sapphire Sapphire Plus Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу telnet коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей). Райос подробно разобрался, какие возможности открывает эксплуатация упомянутых уязвимостей. Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через интернет, если злоумышленнику удастся войти в больничную локальную сеть. На практике Билли Райос продемонстрирует атаку на конференции по безопасности SummerCon, которая состоится в июле 2015 года в Нью-Йорке. Источник: https://xakep.ru/2015/06/10/hospira/
В ходе проводимых аудитов информационной безопасности АСУ ТП порой в промышленных сегментах сетей можно встретить заражённые вредоносным программным обеспечением рабочие места операторов, а то и серверы. При этом никто особо не спешит их лечить. В публикациях и презентациях по теме информационной безопасности АСУ ТП много говорится об отличиях промышленных и офисных систем, при этом чаще всего отмечается, что важнейшим из них является необходимость обеспечивать не конфиденциальность и даже не целостность информации, а непрерывность технологического процесса. Именно это требование в совокупности с риск-ориентированным подходом и позволяет вирусам спокойно существовать в сетях АСУ ТП от одного окна технологического обслуживания до другого, а то и дольше. На вчерашнем семинаре по информационной безопасности промышленных систем автоматизации и управления на принесённом представителем площадки презентационном ноутбуке за полтора часа до начала мероприятия обнаружился autorun-вирус (привет, Stuxnet! 😃), скрывающий все файлы и папки на подключаемых флешках (помечал их как защищённые системные) и заменяющий их на ярлыки. [caption id=”attachment_6743” align=”aligncenter” width=”550”] autorun-вирус[/caption] Конечно, презентационный ноутбук не является ярким примером автоматизированной системы управления, но вчера, с учётом оставшегося времени, нам тоже важнее было не удалить этот вирус, а обеспечить непрерывность процесса показа презентаций. Подключение своего ноутбука потребовало бы перенастройки презентационного оборудования и аудиосистемы, установленный на заражённом ноутбуке антивирус даже после обновления баз помочь не смог, ровно как и скачанная утилита лечения. С проблемой, нерешаемой техническими средствами защиты, в итоге справились штатными средствами и компенсирующими организационными мерами: в настройках проводника Windows включили отображение системных файлов, а для копирования презентаций и роликов с других флешек использовали промежуточный чистый ноутбук и ещё одну флешку, отданную вирусу на растерзание. [caption id=”attachment_6745” align=”aligncenter” width=”392”] Показать системные файлы[/caption] В итоге проблема была обойдена, хотя вирус никуда не делся, т.е. уязвимость не была устранена окончательно, зато негативное воздействие было снижено до приемлемого уровня. Ровно также вынужден бывает поступать и персонал, ответственный за эксплуатацию промышленных систем автоматизации и управления: да, вредоносное ПО есть и оно даже приводит к каким-то сбоям (например, рабочие станции время от времени перезагружаются), но это негативное влияние в целом приемлемо и вред от остановки идущего технологического процесса для запуска антивирусного сканирования на всех компьютерах в сети будет существенно больше. Так и работают операторы на заражённых компьютерах, оставляя их лечение до лучших времён. С подходом к риску при защите критической информации в системах управления как к совокупности угрозы, уязвимости и последствий можно ещё познакомиться в рамках онлайн курса ICS-CERT 100W.
Ветряные электрогенераторы в последнее время стали в огромных количествах появляться в Соединенных Штатах, и многие из них подключены к Интернету. Это, конечно же, значит, что эти генераторы становятся естественными целями как для хакеров, так и для безопасников. Исследователь-безопасник обнаружил уязвимость межсайтовой подделки запроса (CSRF) в операционной системе ветрогенераторов производства компании XZERES. Эта уязвимость может позволить злоумышленнику отключать подачу энергии ко всем системам, подключенным к целевой системе. Уязвимость содержится в системе, работающей на ветрогенераторе модели 442SR. Компания XZERES, выпускающая данные генераторы, оповестила об этом своих клиентов в ряде стран, включая США, Великобританию, Италию, Японию, Вьетнам и другие. «Успешная эксплуатация этой уязвимости позволяет извлекать из браузера ID и изменять ID по умолчанию. Этот эксплойт может вызвать потерю энергоснабжения всех подключенных систем, — говорится в оповещении от ICS-CERT. — ОС 442SR распознает методы ввода данных и POST и GET. Используя метод GET, злоумышленник может извлечь ID из браузера и изменить ID пользователя по умолчанию. Пользователь по умолчанию имеет права администратора для всей системы». XZERES 442SR относится к наименьшим по размеру ветрогенераторам, это не массивный ветряк, из которых составляют большие ветрогенераторные фермы. Компания определяет его как высокоэффективный малый генератор. «Ветрогенератор XZERES 442ST разработан для генерирования дешевой возобновляемой энергии за счет высокой эффективности, надежности и долговечности. Его простая конструкция с несколькими движущимися частями снижает расходы на обслуживание и ремонт, а также обеспечивает легкость установки», — говорится в описании продукта на сайте компании. Хотя пока эксплойт для этой уязвимости не был обнаружен, оповещение ICS-CERT говорит, что создать его несложно. «Создать работающий эксплойт для этой уязвимости было бы легко. Конкретно для этой уязвимости нет публичного эксплойта. Тем не менее в онлайне имеется код, который легко можно модифицировать для инициации CSRF с этой уязвимостью», — говорится в оповещении. Компания разработала патч для этой уязвимости CSRF, но его нужно устанавливать вручную. Источник: https://threatpost.ru/2015/06/09/researcher-finds-csrf-bug-in-wind-turbine-software/
Кратко поделюсь впечатлениями о прошедшей вчера конференции Безопасность критически важных объектов топливно-энергетического комплекса. Участники. Как заявил во вступительном слове Юрий Малинин, в списке регистраций было 220 человек. Простой оценочный подсчёт людей в зале во время первой утренней сессии мероприятия дал 130-140 человек, плюс часть посетителей приезжала в течение дня. По составу, на мой взгляд, был хороший баланс между заказчиками и поставщиками решений, в чём, конечно, большая заслуга организаторов. Доклады. Регуляторы говорили о своей текущей деятельности, в том числе нормотворческой. В целом можно отметить, что тема безопасности продолжает быть в фокусе внимания и Минэнерго и ФСТЭК, хотя первые традиционно больше уделяют внимание безопасности физической и антитеррорестической, а вторые - информационной. Из забавного запомнился вопрос представителя Минэнерго представителю ФСТЭК о том, являются ли требования 31-го приказа ФСТЭК обязательными. Ответ был, как это часто принято, размытым, с отсылками к самому приказу. Хотя, в общем-то, понятно же, что до принятия соответствующего Федерального Закона, можно говорить лишь о рекомендациях, несмотря на регистрацию приказа в Минюсте и общем ажиотаже вокруг него. Поставщики же решений и представители интеграторов в целом говорили очень похожие вещи, делая акцент на одних и тех же моментах, что, пожалуй, позволяет сделать вывод о примерно одинаковом понимании ими проблематики. Это приятно, откровенных глупостей не говорит уже никто. Спикеры. Как ни странно, всего лишь второй раз в жизни присутствовал на выступлении Алексея Лукацого и первый раз - на всём выступлении целиком (года три назад застал лишь часть на одном из форумов). Собственно, никаких вопросов, почему Алексея так любят приглашать организаторы различных мероприятий, не возникает: он действительно отлично выступает и обладает крайне разносторонними предметными знаниями. Также понравился доклад представителя Digital Security про разработку эксплойтов для АСУ ТП - практические примеры атак всегда интереснее умственных теоретизирований. С аналогичной темой коллеги из Digital Security будут выступать и 9 июня на семинаре УЦСБ, так что приглашаю послушать. Ну, и конечно, нельзя не отметить доклад представителя Мосэнерго про взгляд на ИБ КВО ТЭК со стороны докладчика. С учётом всех ограничений на разглашение информации, мнение “с той стороны баррикад” всё равно было интересным. Презентации организаторы пообещали сделать доступными в течение нескольких дней, хотя, видимо, только непосредственно для участников, но, с другой стороны, мероприятий по этой теме сейчас хватает и в курсе последних новостей быть не сложно. Для тех же, кому удобнее онлайн формат общения, Антон Шипулин сделал соответствующую подборку: Онлайн сообщества/площадки по безопасности АСУ ТП.
На сайте ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) можно бесплатно пройти курсы по обеспечению безопасности информации в критических инфраструктурах. В настоящее время доступны два онлайн курса: 100W - Operational Security (OPSEC) for Control Systems 210W - Cybersecurity for Industrial Control Systems Первый из них достаточно простой и посвящён общим вопросам: типы и мотивация злоумышленников, используемые ими техники получения критической информации, а также основные способы защиты (рассматривается физическая и информационная составляющие). В курс встроено три несложных игры на проверку степени понимания материала, в одной из которых нужно действовать от лица злоумышленника и получить доступ к критической информации, а в двух других в реальной обстановке сначала диспетчерской, а потом жилого дома найти допущенные ошибки, потенциально ведущие к инцидентам. В целом, материал несложный и, надо признать, немного устаревший. Судя по упоминаемым технологиям и приводимым примерам, курс датируется примерно 2008 годом, но с другой стороны принципиально с того времени в базовых подходах мало что поменялось. Курс был бы хорош для тренинга персонала в рамках повышения осведомлённости, но для российских реалий есть существенное препятствие в виде используемого языка (английский), а также незначительные, но всё же присутствующие отсылки к законодательству США. Немного выбивается за рамки такого общего курса для всех рекомендуемый циклический пятиступенчатый подход к организации OPSEC (operations security), хотя и тут всё изложено просто и наглядно. [caption id=”attachment_6693” align=”aligncenter” width=”333”] Процесс OPSEC[/caption] Особенно мне понравилось объяснение риска через совокупность угрозы, уязвимости и последствий и, в частности, акцент на том, что без потенциальных негативных последствий нет смысла говорить о риске. [caption id=”attachment_6703” align=”aligncenter” width=”320”] Risk = Threat x Vulnerability x Consequence[/caption] Выкладываю краткий конспект курса в виде встроенной майндкарты (прямая ссылка). Кликнув на майндкарту, можно начать её масштабировать и прокручивать. Некоторые ветки третьего и ниже уровня скрыты за плюсами (+). Версию в формате PDF-файла можно скачать на SlideShare. Your browser is not able to display frames. Please visit the mind map: OPSEC 100W - Operational Security for Control Systems by ICS-CERT on Mind Mapping - MindMeister. Несмотря на то, что во всех играх предусмотрено неограниченное число попыток и как таковой итоговой оценки знаний не происходит, по завершению обучения выдаётся сертификат: Второй курс от ICS-CERT (210W) и по заявленной продолжительности (15 часов вместо одного часа) и по своей тематике представляется более практическим и интересным. Но о нём подробнее расскажу в одном из следующих постов. Повысить уровень своих знаний по информационной безопасности в АСУ ТП можно также на одном из ближайших мероприятий по этой тематике.
В квадратах Gartner в последнее время наметилась тенденция к практически неизменному составу лидеров год от года. По крайней мере, среди IPS, корпоративных межсетевых экранов и решений для защиты конечных точек это так. Тем любопытнее перемены в свежем квадрате Magic Quadrant for Secure Web Gateways 2015 (G00267241). [caption id=”attachment_6671” align=”aligncenter” width=”608”] Magic Quadrant for Secure Web Gateways 2015 (G00267241)[/caption] Сразу два лидера - Cisco и Intel Security (McAfee) перемещены из квадранта Лидеров в соседний квадрант Претенденты. Ниже представлена сводная картина по квадратам для Secure Web Gateway за три последних года. [caption id=”attachment_6695” align=”aligncenter” width=”750”] Gartner Magic Quadrants for Secure Web Gateways 2013-2015[/caption] Для оценки российской ситуации, понятно, что расстановку игроков на мировом рынке нельзя просто так экстраполировать на наши реалии. Присутствуют местные игроки (Entensys, Ideco и пр.), а тот же Zscaler у нас крайне не популярен. Подозреваю, что по причине того, что компания специализируется на облачных сервисах безопасности, мало распространённых на нашем зарегулированном рынке. Ирония в том, что именно отсутствие/наличие сильного (по мнению Gartner) облачного решения влияет сейчас на расстановку сил на мировой арене web-шлюзов безопасности сильнее всего. Полный список участников квадрата Secure Web Gateway 2015 (для удобства текстового поиска) выглядит так: лидеры: Zscaler, Blue Coat, Websense претенденты: Cisco, Intel Security (McAfee) нишевые игроки: Trend Micro, Barracuda Networks, iboss, ContentKeeper, Symantec, Sophos, Trustwave, Sangfor Остальные квадраты Gartner доступны в соответствующем разделе сайта.
28 мая в Волгограде компания “ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ” проводила конференцию “Безопасность промышленных систем автоматизации и управления” с участием ИнфоВотч, Лаборатории Касперского, УЦСБ и Cisco. Выкладываю свою презентацию про Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления. Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления from Alexey Komarov Также выкладываю брошюру про комплекс оперативного мониторинга и контроля защищенности АСУ ТП - DATAPK. Брошюра DATAPK from Alexey Komarov Презентации других участников доступны по ссылке. Организаторы обещают выложить и видеозаписи после их обработки. Ещё из ближайших мероприятий по теме информационной безопасности АСУ ТП: 04 июня. Москва. Безопасность критически важных объектов ТЭК 09 июня. Москва. Информационная безопасность промышленных систем автоматизации и управления 16 июня. Екатеринбург. Информационная безопасность промышленных систем автоматизации и управления
Соединенные Штаты в 2010 году пытались атаковать ядерные силы КНДР с помощью компьютерного вируса, сообщает Reuters со ссылкой на источник в разведке США.
Тема информационной безопасности промышленных систем автоматизации не была центральной на Positive Hack Days, но в ряду других была представлена достаточно широко, хотя и концентрировалась преимущественно в первом дне мероприятия.
Конец мая, конечно, не самое лучшее время для обновления подборки квадратов Гартнера - в ближайшие пару месяцев как раз пройдёт очередной массовый выпуск ежегодных версий существенного их количества из моей общей подборки, но так как мне потребовалось некоторые из них освежить именно сейчас, то поделюсь текущими обновлениями конца 2014 - начала 2015. Помимо изучения текущих версий квадратов, полезно бывает посмотреть на них в ретроспективе. Например, история значимых поглощений и слияний последних пары лет красноречиво представлена в подборках квадратов Gartner Magic Quadrants for Intrusion Prevention Systems за 2013-14 и Gartner Magic Quadrants for Enterprise Network Firewalls за 2013-15. Тут и Cisco с Sourcefire, и триада Stonesoft - McAfee - Intel Security, и даже формула Arcoon + NETASQ = Stormshield. [caption id=”attachment_6606” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Intrusion Prevention Systems 2013-2014[/caption] [caption id=”attachment_6607” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Enterprise Network Firewalls 2013-2015[/caption] Более драматична динамика квадратов решений для защиты конечных точек: и игроков побольше и изменения более явные, хотя лидеры и здесь тоже из года в год не меняются. [caption id=”attachment_6608” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Endpoint Protection Platforms 2013-2014[/caption] Сами свежие квадраты доступны по этим ссылкам: Magic Quadrant for Intrusion Prevention Systems (декабрь 2014) Magic Quadrant for Enterprise Network Firewalls (апрель 2015) Magic Quadrant for Endpoint Protection Platforms (декабрь 2014) Полная подборка магических квадратов в соответствующем разделе сайта: https://zlonov.ru/gartner-magic-quadrants/