Свежие посты   По годам   По датам
  • 24 Марта 2015 » (инцидент) ФСБ заинтересовалась сбоями в работе импортных станков на предприятиях ОПК Урала
    Речь идет об оборудовании, приобретенном до введения антироссийских санкций, сбои возникли в программном обеспечении.

  • 23 Марта 2015 » (уязвимость) Positive Technologies помогает Inductive Automation устранить уязвимости
    Компания Inductive Automation выпустила ряд обновлений, закрывающих уязвимости в продукте Ignition, которые могли привести к раскрытию важных данных, подбору паролей и повышению привилегий в системе. Проблемы безопасности были обнаружены экспертами Positive Technologies во время анализа защищенности АСУ ТП. В исследовании участвовали Евгений Дружинин, Алексей Осипов и Илья Карпов. Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов. Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям, «неубиваемые» после выхода пользователя из системы сессии, хранение аутентификационных данных сервера OPC в незашифрованном виде, а также отображение конфиденциальной информации в сообщениях об ошибке. Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты. Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. Пользователям рекомендуется установить последнюю версию приложения. Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys. В 2012 году специалисты PT представили масштабное исследование «Безопасность промышленных систем в цифрах». В 2013 году в лаборатории Positive Technologies был создан стенд Choo Choo Pwn: модель игровой железной дороги, все элементы которой — поезда, шлагбаумы, светофоры — контролируются с помощью АСУ ТП, собранной на основе трех SCADA-систем. Эксперты компании проводят тематические вебинары и выступают на ведущих международных конференциях по информационной безопасности. Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний. Источник

  • 13 Марта 2015 » (инцидент) США заявили о сотнях атак хакеров на промышленность страны
    Хакеры атаковали промышленность США по меньшей мере 245 раз за 12 месяцев, следует из отчета, опубликованного подразделением министерства национальной безопасности США ICS-CERT (US Industrial Control Systems Cyber Emergency Response Team). Отчет охватывает период с 1 октября 2013 года по 30 сентября 2014 года.

  • 11 Марта 2015 » ИБ решения для АСУ ТП. Часть 1.
    Тематика обеспечения информационной безопасности АСУ ТП в тренде вот уже несколько лет, а относительно недавно появившаяся новая модная тема импортозамещения внесла ещё несколько штрихов, поработав дополнительным драйвером и для отечественных разработчиков подобного класса продуктов. Пришла пора разобраться с “обилием” решений и пополнить ими Каталог Средств Защиты Информации.

  • 26 Февраля 2015 » Предвесенняя чистка списка блогов по ИБ
    Актуализировал подборку блогов и площадок по информационной безопасности: https://zlonov.ru/blogs/ В этот раз волевым решением убрал в архив все блоги, в которых не было ни одной записи в 2015 году, в связи с чем список активных блогеров резко сократился. Евгений Царёв, Алексей Чеканов и другие коллеги, вы же интересно пишете - не забрасывайте это дело! =) Зато в списке сразу три пополнения: Блог Стуловой Елены - Информационная безопасность. Блог Естехина Валерия - ИБ. Взгляд снизу. Блог Антука Александра - 0xAA Random notes on security (блог, правда, англоязычный, но решил сделать для него исключение). Вместе с обновлением самого списка обновил и данные по подписчикам, на основе информации из сервиса feedly.com Вот как выглядит ТОП-10 самых читаемых личных блогов по информационной безопасности на сегодня по версии Feedly (в скобках - число подписчиков) (во вторых скобках - твиттер): (530) Лукацкий Алексей (@alukatsky) - Бизнес без опасности (455) Касперский Евгений (@e_kaspersky) - Nota Bene (317) Прозоров Андрей @3dwave - Жизнь 80 на 20 (241) Волков Алексей (@an_volkov) - Безопасность для понимающих и не очень (228) Емельянников Михаил (@emeliyannikov) - Рецепты безопасности от Емельянникова (217) Бондаренко Александр (@AlexBondarenko) - Security Insight (216) Гордейчик Сергей - В тему и offtopic (190) Матросов Александр (@matrosov) - Fuzzing the World (183) Агеев Артем (@4rt3m) - Блог Артема Агеева (181) Стыран Владимир (@secure_galaxy) - ГАЛАКТИКО ВБЕЗОПАСНАСТЕ!!1 На почётном одиннадцатом месте значится мой блог ZLONOV.ru cо 173-мя подписчиками. Буду признателен, если подпишитесь на его RSS-ленту! Приведу и ещё несколько блогов коллег, не упомянуть которые было бы некорректно: (173) Комаров Алексей (@zlonov) - ZLONOV.ru (167) Борисов Сергей (@sb0risov) - ИБ на Кубани (153) Ригель (@xpomob) - Ригельз дыбр (147) Безмалый Владимир (@VladBez) - Быть, а не казаться (142) Бодрик Александр (@obodryk) - Обзор актуальных проблем информационной безопасности Полный список здесь: Список блогов, посвящённых информационной безопасности     

  • 18 Февраля 2015 » Как узнать оператора по номеру телефона (и не вводить капчу)
    После отмены “мобильного рабства” пользователи массово начали переходить от одного оператора к другому с сохранением своего телефонного номера. Уже на начало февраля таких абонентов стало более миллиона (более подробная статистика по числу переходов представлена на сайте ЦНИИС - официального оператора базы данных перенесенных абонентских номеров на основании распоряжения Правительства РФ от 9 октября 2013г. № 1832-р). Таким образом, со временем всё сложнее будет по коду абонента определить его сотового оператора: 903 - теперь не обязательно будет Билайн, а 926 - может и не означать Мегафон. Честно говоря, не очень представляю себе практической ценности от такого рода знаний (разве что это может быть важно при наличии в тарифном плане льготной опции при звонке на телефонные номера конкретного оператора), но, тем не менее, на сайте ЦНИИС соответствующий раздел присутствует: Узнать оператора по номеру телефона. Для защиты от “роботов” данная форма запроса традиционно защищена капчей (CAPTCHA), но, как оказалось, её можно совсем просто обойти. Сейчас расскажу как именно. Моё традиционное внимание к адресной строке браузера было вознаграждено и в этот раз. Вот как выглядит результат на странице сайта после ввода корректной капчи: Ничего необычного: указан номер, выведен оператор, а поле капчи изменено на новое… А вот адресная строка выглядит гораздо интереснее: Как видно, в качестве параметров используются три переменные: num, number и r. Собственно, вполне очевидно, что num - это введённый пользователем номер телефона, оператора которого он хочет проверить. Простые эксперименты и некоторые логические умозаключению показали, что number - это то, что пользователь указал в поле капчи, а r - специальный проверочный параметр, вычисленный заранее. Получается, что алгоритм проверки просто делает расчёт некоторого значения на основании того, что ввёл пользователь (назовём это значение r2), и сравнивает r2 с эталонным r, передавая при этом само r зачем-то в запросе. Вот такая странная реализация. Тут можно было бы подумать, что для обхода алгоритма капчи нужно будет проводить анализ и выяснять принцип вычисления r, но всё оказалось гораздо проще: r никак не зависит от номера телефона, а вычисляется только из символов правильной капчи. На практике это означает, что если у нас есть одна пара соответствующих друг другу параметров number и r, то меня num, можно получать желаемый результат для любого другого телефонного номера. Пара примеров. Вот например, ссылка, которая получается после правильно введённых пользователем символов капчи: http://www.zniis.ru/bdpn/check?num=9031234567&number=3f52ce28&r=366172 Здесь параметры number (то, что пользователь ввёл в поле капчи) и r (проверочное значение, которое должно получаться из number, если оно правильное) соответствуют друг другу, поэтому в качестве параметра num (проверяемый номер телефона) можно передавать всё, что угодно: http://www.zniis.ru/bdpn/check?num=9099999999&number=3f52ce28&r=366172 http://www.zniis.ru/bdpn/check?num=9033333333&number=3f52ce28&r=366172 http://www.zniis.ru/bdpn/check?num=9266666666&number=3f52ce28&r=366172 Не могу сказать, что это какая-то очень опасная уязвимость. Максимум, что она позволяет сделать - это написать скрипт, который выкачает целиком всю базу соответствий номеров телефонов и текущих операторов, к которым эти номера приписаны. Тем не менее,  уведомление администрации сайта на указанный в разделе Контакты адрес info@zniis.ru ещё на прошлой неделе я всё же направил. Никакой реакции, ожидаемо, не последовало. Правда, те примеры (с парой number и r), которые были указаны в моём письме, больше не работают. Возможно, что это и есть реакция (смайл) - просто исключили пару проверенных мной number и r, а может r вычисляется каждый день заново и уже завтра примеры из этого поста тоже работать не будут, но пока не поменяется сам принцип проверки, не поменяется и принцип обхода капчи при проверке оператора по номеру телефона на сайте официального оператора базы данных перенесенных абонентских номеров на основании распоряжения Правительства РФ от 9 октября 2013г. № 1832-р.

  • 12 Февраля 2015 » (инцидент) Хакеры атакуют автозаправки
    Исследователи зафиксировали атаку на подключенную к интернету систему управления насосами топливного хранилища.

  • 30 Декабря 2014 » TOP-10 постов на ZLONOV.ru в 2014 году
    Продолжая традиции прошлых лет, предлагаю вашему вниманию хит-парад постов за прошедший  2014 год. Места распределены согласно общему числу просмотров, рассчитанных Google Analytics. Читаем между адресных строк или Как узнать учредителей юридического лица Практический пост про то, как можно без сложных утилит и реального взлома обнаружить в открытых источниках информацию, скрытую от посторонних неподготовленных глаз. Углярка против ElcomSoft История одного конкурса на госзакупках без внятного, впрочем, конца. Следим за реестрами ФСТЭК Рекомендация по настройке автоматических уведомлений об изменениях в Государственном реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00, устаревшая, правда, после очередных изменений на сайте ФСТЭК. Три новшества в клавиатуре в iOS 8 Пост, опубликованный ради описания механизма установки бета-версий iOS до их официальных релизов. CISO FORUM 2014 Рассказ про моё участие в мероприятии CISO FORUM в качестве спонсора, дополненный роликом из слайдов и аудиозаписи выступления Алексея Волкова про опыт использования электронной подписи в территориально распределенной компании. Железобетонные пруфлинки Как доказать факт наличия какой-либо страницы на сайте, если вдруг она будет удалена владельцем? Примеры в посте. За ПХД! Краткий отчёт о посещении Positive Hack Days 2014. Secret Полишинеля Наглядная демонстрация способа обхода механизмов анонимизации в нашумевшей в начале этого года анонимной социальной сети Secret. Некоторые мои знакомые (видимо) после прочтения этого поста пользоваться Secret перестали =) Краткий фотоотчёт с InfoSecurity Russia 2014 Совсем краткий, но зато с фотографиями. Лидер бестокенной аутентификации выпускает токены Один из немногих "рекламных" моих постов сумел-таки попасть в ТОП, хоть и оказался на последней ступеньке. Помимо публикации постов регулярно обновлял три больших подборки, каждая из которых весь год неизменно пользовалась популярностью: Подборка магических квадратов Gartner'а Список русскоязычных блогов по информационной безопасности и, конечно же, Каталог сертифицированных средств защиты информации (СЗИ), ранее базировавшийся на списке Сертифицированных межсетевых экранов, но со временем, дополнившийся новыми разделами и существенно разросшийся. Каталог СЗИ изначально планировался для собственного удобства, как подборка краткой информации по всем присутствующим на рынкам сертифицированным решениям. Вместо поиска по сайтам производителей или анализу монструозного реестра ФСТЭК гораздо проще было зайти на собственный сайт и быстро просмотреть общую информацию о том или ином сертификате. В дальнейшем для удобства и красоты начал добавлять изображения и краткие описания. Мне уже и сейчас нравится (и не раз выручал) текущий каталог, но работы над ним продолжаются, есть несколько дополнительных идей повышения удобства, благо, что сайт на собственной платформе позволяет гораздо большее, чем просто блог на какой-либо публичной площадке. Пока же, в дополнение к основному ТОПу, представляю вашему вниманию ТОП-15 сертифицированных СЗИ (на основании суммарного числа просмотров): Check Point Security Gateway R75 Checkpoint UTM-1 Edge N Cisco ASA 55хх Dionis NX OfficeScan 10.6 Stonegate IPS ViPNet IDS Аргус, версия 1.5 Детектор атак «Континент» Континент 3.7 Рубикон Ручей-М СКЗИ Континент-АП 3.7 Тор Форпост Не берусь пока комментировать, что означает превышение числа просмотров одних СЗИ над другими, поэтому просто расположил их по алфавиту. В заключение поздравляю всех читателей с Новым Годом! Как сейчас шутят в Twitter: Уходящий год был непростым (2014=21953). Непростыми будут и следующие два года, а вот 2017 снова будет простым.  С НОВЫМ ГОДОМ ВАС! Пусть непростого, но интересного и неизменно удачного вам 2015 года! См. также: TOP-10 постов на ZLONOV.ru в 2013 году TOP-10 постов на ZLONOV.ru в 2012 году Изображение

  • 25 Декабря 2014 » DLP для Linux
    Под конец года компания Zecurion анонсировала расширение списка поддерживаемых её DLP-решениями платформ сразу на два семейства: сначала на Android, а чуть позже - на OS X. Ждать ли решения теперь и под Linux? Исторически все DLP-решения, а точнее - их агентские части (клиенты, устанавливаемые на рабочие места пользователей), были рассчитаны на работу исключительно в среде операционных систем Windows. Объяснение этому достаточно простое - распространённость данных платформ позволяет гарантировать сбыт практически любому разработчику мало-мальски работающего решения по контролю и мониторингу действий пользователей. Поддержка дополнительных платформ - это всегда инвестиции, которые надо будет окупать. Конечно, если у вас уже есть команда Linux-разработчиков, освободившихся, например, после закрытия какого-либо несостоявшегося крупного проекта, то можно попробовать использовать их ресурсы для создания чего-то ещё под Linux в надежде - “а вдруг стрельнёт?”, но это скорее исключение. Отсутствие вменяемого DLP-решения для Linux на мировом рынке, в общем-то, в свете вышесказанного не удивляет, но вот что действительно странно, так это то, что в России до сих пор так и не нашлось ни одного заказчика, заинтересованного в создании решения по контролю автоматизированных рабочих мест (АРМ) на ОС Linux, хотя пользователей всевозможных “гослинуксов” у нас более, чем достаточно. Варианты объяснения данному, если угодно, феномену (на выбор): в сами "гослинуксы" встроено достаточно средств защиты, реализующих весь необходимый функционал; всё решается организационно-штатными мероприятиями, так как так дешевле и проще; АРМов на Linux в реальности всё равно слишком мало; заговор разработчиков; никто до этого просто не додумался. А какова причина на ваш взгляд?

  • 24 Декабря 2014 » Список блогов ИБ по состоянию на декабрь
    С августовского обновления Списка блогов по информационной безопасности мне стало дополнительно известно лишь о ещё двух: “Всё про Интернет право” Саркиса Дарбиняна, который раньше в список не входил, и “Безопасность АСУ ТП” Антона Шипулина, посвящённый актуальной, ну, или, по крайней мере, популярной сегодня теме информационной безопасности в промышленной автоматизации. К сожалению, пришлось исключить из списка актуальных блог Константина Левина: по старому адресу (http://levinkv.ru) он больше недоступен, а нового найти не удалось. Других изменений в списке нет, разве что заодно обновил список подписчиков всех блогов на основании данных сервиса Feedly. Колонку с числом подписок в августе тоже оставил - для любителей статистики и всевозможных рейтингов =) К слову, стоит отметить, что число подписчиков выросло практически у всех авторов, так что получается, что, если Feedly не обманывает, тематика информационной безопасности, охватывает всё большую аудиторию. Список блогов размещён на сайте ZLONOV.ru в соответствующем разделе: СПИСОК БЛОГОВ по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, а также выложен на SlideShare и доступен по прямой ссылке в виде Excel-файла. Буду признателен за подписку на обновления моего блога, на блог Антона Шипулина про безопасность АСУ ТП тоже приглашаю подписываться, если данная тематика вам интересна.