Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
01
Апреля
2015
» «Звонок»
Он уже было направился к столу, но тут внезапно зазвонил телефон. Попить чай в этот день Денису Егоровичу уже не довелось…
25
Марта
2015
» Круглые столы по импортозамещению в электронике и промышленной автоматизации
В эти дни (24-26 марта) в Экспоцентре в Москве проходит выставка Российская неделя электроники и автоматизации, проводимая совместно ЧипЭКСПО (Новая электроника) и ФАРЭКСПО (Автоматизация. Отраслевые решения). Деловая программа у выставки небогатая, но в первый день включала в себя всё же два интересных круглых стола, посвящённых теме импортозамещения: Импортозамещение в электронике и микроэлектронике и Импортозамещение в промышленной автоматизации. На обоих круглых столах удалось побывать. Вообще, тема эта постепенно становится избитой и заезженной, так как своё мнение по импортозамещению (ИМЗщ) сейчас не высказывает разве что ленивый, но тут с докладами выступали представители отечественных компаний-разработчиков, занимающиеся ИМЗщ не один год и прикладывающие к этому реальные усилия. Говоря в целом, отношение у отечественных производителей электроники и решений по промышленной автоматизации к ИМЗщ крайне скептическое. Есть у них серьёзные опасения, что всё происходящее является не более, чем “игрой в ИМЗщ” и, к сожалению, судя по их словам, все признаки этого есть. Например, рассказывают, что госкорпорации готовы рассматривать отечественные разработки, но часто предъявляют требования по чуть ли не 100%-ой совместимости с уже имеющейся инфраструктурой, а на предложения по оснащению отдельных объектов/систем отечественными решениями с поэтапным наращиванием их числа - просто не идут. Как тут избежать ситуаций, когда переклеиваются шильдики и продукт наиболее вероятного противника наименее вероятного союзника становится самым что ни на есть отечественным (т.н. бумажное ИМЗщ)? Или, скажем, присылают техзадание на разработку, составленное из прямых цитат документации иностранного продукта. При этом производителю, если он хочет предложить своё решение, все разработки нужно вести самостоятельно, часто с нуля, без инвестиций хотя бы в виде предоплаты и с весьма туманными перспективами: “Вы сделайте, а мы рассмотрим, подумаем….”. Общее усреднённое мнение таково: госчиновники и менеджеры госкорпораций, конечно, по теме ИМЗщ что-то делают, но подход у них сугубо процессный - сказано делать, вот и делают, а желание что-то сделать есть далеко не у всех. Тем не менее, имеет место (пусть настороженный) оптимизм в расчёте на то, что если ещё какое-то время не будет послабления санкций, то тема не почит в бозе как ей предшествующие модернизация и инновация. Хочется надеятся, что всё же стрельнёт, а то ведь так все вдохновляющие на перемены слова в русском языке могут и закончиться… Сама же выставка производит впечатление именно что выставки. Как уже отмечал выше, докладов и выступлений немного, а вот выставочные площади большие - производителям действительно есть что показать, всё же микроэлектроника и автоматизация гораздо более материальны, чем тема информационной безопасности, выставки и конференции по которой посещать доводилось гораздо чаще.
24
Марта
2015
» (инцидент) ФСБ заинтересовалась сбоями в работе импортных станков на предприятиях ОПК Урала
Речь идет об оборудовании, приобретенном до введения антироссийских санкций, сбои возникли в программном обеспечении.
23
Марта
2015
» (уязвимость) Positive Technologies помогает Inductive Automation устранить уязвимости
Компания Inductive Automation выпустила ряд обновлений, закрывающих уязвимости в продукте Ignition, которые могли привести к раскрытию важных данных, подбору паролей и повышению привилегий в системе. Проблемы безопасности были обнаружены экспертами Positive Technologies во время анализа защищенности АСУ ТП. В исследовании участвовали Евгений Дружинин, Алексей Осипов и Илья Карпов. Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов. Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям, «неубиваемые» после выхода пользователя из системы сессии, хранение аутентификационных данных сервера OPC в незашифрованном виде, а также отображение конфиденциальной информации в сообщениях об ошибке. Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты. Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. Пользователям рекомендуется установить последнюю версию приложения. Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys. В 2012 году специалисты PT представили масштабное исследование «Безопасность промышленных систем в цифрах». В 2013 году в лаборатории Positive Technologies был создан стенд Choo Choo Pwn: модель игровой железной дороги, все элементы которой — поезда, шлагбаумы, светофоры — контролируются с помощью АСУ ТП, собранной на основе трех SCADA-систем. Эксперты компании проводят тематические вебинары и выступают на ведущих международных конференциях по информационной безопасности. Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний. Источник
13
Марта
2015
» (инцидент) США заявили о сотнях атак хакеров на промышленность страны
Хакеры атаковали промышленность США по меньшей мере 245 раз за 12 месяцев, следует из отчета, опубликованного подразделением министерства национальной безопасности США ICS-CERT (US Industrial Control Systems Cyber Emergency Response Team). Отчет охватывает период с 1 октября 2013 года по 30 сентября 2014 года.
11
Марта
2015
» ИБ решения для АСУ ТП. Часть 1.
Тематика обеспечения информационной безопасности АСУ ТП в тренде вот уже несколько лет, а относительно недавно появившаяся новая модная тема импортозамещения внесла ещё несколько штрихов, поработав дополнительным драйвером и для отечественных разработчиков подобного класса продуктов. Пришла пора разобраться с “обилием” решений и пополнить ими Каталог Средств Защиты Информации.
26
Февраля
2015
» Предвесенняя чистка списка блогов по ИБ
Актуализировал подборку блогов и площадок по информационной безопасности: https://zlonov.ru/blogs/ В этот раз волевым решением убрал в архив все блоги, в которых не было ни одной записи в 2015 году, в связи с чем список активных блогеров резко сократился. Евгений Царёв, Алексей Чеканов и другие коллеги, вы же интересно пишете - не забрасывайте это дело! =) Зато в списке сразу три пополнения: Блог Стуловой Елены - Информационная безопасность. Блог Естехина Валерия - ИБ. Взгляд снизу. Блог Антука Александра - 0xAA Random notes on security (блог, правда, англоязычный, но решил сделать для него исключение). Вместе с обновлением самого списка обновил и данные по подписчикам, на основе информации из сервиса feedly.com Вот как выглядит ТОП-10 самых читаемых личных блогов по информационной безопасности на сегодня по версии Feedly (в скобках - число подписчиков) (во вторых скобках - твиттер): (530) Лукацкий Алексей (@alukatsky) - Бизнес без опасности (455) Касперский Евгений (@e_kaspersky) - Nota Bene (317) Прозоров Андрей @3dwave - Жизнь 80 на 20 (241) Волков Алексей (@an_volkov) - Безопасность для понимающих и не очень (228) Емельянников Михаил (@emeliyannikov) - Рецепты безопасности от Емельянникова (217) Бондаренко Александр (@AlexBondarenko) - Security Insight (216) Гордейчик Сергей - В тему и offtopic (190) Матросов Александр (@matrosov) - Fuzzing the World (183) Агеев Артем (@4rt3m) - Блог Артема Агеева (181) Стыран Владимир (@secure_galaxy) - ГАЛАКТИКО ВБЕЗОПАСНАСТЕ!!1 На почётном одиннадцатом месте значится мой блог ZLONOV.ru cо 173-мя подписчиками. Буду признателен, если подпишитесь на его RSS-ленту! Приведу и ещё несколько блогов коллег, не упомянуть которые было бы некорректно: (173) Комаров Алексей (@zlonov) - ZLONOV.ru (167) Борисов Сергей (@sb0risov) - ИБ на Кубани (153) Ригель (@xpomob) - Ригельз дыбр (147) Безмалый Владимир (@VladBez) - Быть, а не казаться (142) Бодрик Александр (@obodryk) - Обзор актуальных проблем информационной безопасности Полный список здесь: Список блогов, посвящённых информационной безопасности
18
Февраля
2015
» Как узнать оператора по номеру телефона (и не вводить капчу)
После отмены “мобильного рабства” пользователи массово начали переходить от одного оператора к другому с сохранением своего телефонного номера. Уже на начало февраля таких абонентов стало более миллиона (более подробная статистика по числу переходов представлена на сайте ЦНИИС - официального оператора базы данных перенесенных абонентских номеров на основании распоряжения Правительства РФ от 9 октября 2013г. № 1832-р). Таким образом, со временем всё сложнее будет по коду абонента определить его сотового оператора: 903 - теперь не обязательно будет Билайн, а 926 - может и не означать Мегафон. Честно говоря, не очень представляю себе практической ценности от такого рода знаний (разве что это может быть важно при наличии в тарифном плане льготной опции при звонке на телефонные номера конкретного оператора), но, тем не менее, на сайте ЦНИИС соответствующий раздел присутствует: Узнать оператора по номеру телефона. Для защиты от “роботов” данная форма запроса традиционно защищена капчей (CAPTCHA), но, как оказалось, её можно совсем просто обойти. Сейчас расскажу как именно. Моё традиционное внимание к адресной строке браузера было вознаграждено и в этот раз. Вот как выглядит результат на странице сайта после ввода корректной капчи: Ничего необычного: указан номер, выведен оператор, а поле капчи изменено на новое… А вот адресная строка выглядит гораздо интереснее: Как видно, в качестве параметров используются три переменные: num, number и r. Собственно, вполне очевидно, что num - это введённый пользователем номер телефона, оператора которого он хочет проверить. Простые эксперименты и некоторые логические умозаключению показали, что number - это то, что пользователь указал в поле капчи, а r - специальный проверочный параметр, вычисленный заранее. Получается, что алгоритм проверки просто делает расчёт некоторого значения на основании того, что ввёл пользователь (назовём это значение r2), и сравнивает r2 с эталонным r, передавая при этом само r зачем-то в запросе. Вот такая странная реализация. Тут можно было бы подумать, что для обхода алгоритма капчи нужно будет проводить анализ и выяснять принцип вычисления r, но всё оказалось гораздо проще: r никак не зависит от номера телефона, а вычисляется только из символов правильной капчи. На практике это означает, что если у нас есть одна пара соответствующих друг другу параметров number и r, то меня num, можно получать желаемый результат для любого другого телефонного номера. Пара примеров. Вот например, ссылка, которая получается после правильно введённых пользователем символов капчи: http://www.zniis.ru/bdpn/check?num=9031234567&number=3f52ce28&r=366172 Здесь параметры number (то, что пользователь ввёл в поле капчи) и r (проверочное значение, которое должно получаться из number, если оно правильное) соответствуют друг другу, поэтому в качестве параметра num (проверяемый номер телефона) можно передавать всё, что угодно: http://www.zniis.ru/bdpn/check?num=9099999999&number=3f52ce28&r=366172 http://www.zniis.ru/bdpn/check?num=9033333333&number=3f52ce28&r=366172 http://www.zniis.ru/bdpn/check?num=9266666666&number=3f52ce28&r=366172 Не могу сказать, что это какая-то очень опасная уязвимость. Максимум, что она позволяет сделать - это написать скрипт, который выкачает целиком всю базу соответствий номеров телефонов и текущих операторов, к которым эти номера приписаны. Тем не менее, уведомление администрации сайта на указанный в разделе Контакты адрес info@zniis.ru ещё на прошлой неделе я всё же направил. Никакой реакции, ожидаемо, не последовало. Правда, те примеры (с парой number и r), которые были указаны в моём письме, больше не работают. Возможно, что это и есть реакция (смайл) - просто исключили пару проверенных мной number и r, а может r вычисляется каждый день заново и уже завтра примеры из этого поста тоже работать не будут, но пока не поменяется сам принцип проверки, не поменяется и принцип обхода капчи при проверке оператора по номеру телефона на сайте официального оператора базы данных перенесенных абонентских номеров на основании распоряжения Правительства РФ от 9 октября 2013г. № 1832-р.
12
Февраля
2015
» (инцидент) Хакеры атакуют автозаправки
Исследователи зафиксировали атаку на подключенную к интернету систему управления насосами топливного хранилища.
30
Декабря
2014
» TOP-10 постов на ZLONOV.ru в 2014 году
Продолжая традиции прошлых лет, предлагаю вашему вниманию хит-парад постов за прошедший 2014 год. Места распределены согласно общему числу просмотров, рассчитанных Google Analytics. Читаем между адресных строк или Как узнать учредителей юридического лица Практический пост про то, как можно без сложных утилит и реального взлома обнаружить в открытых источниках информацию, скрытую от посторонних неподготовленных глаз. Углярка против ElcomSoft История одного конкурса на госзакупках без внятного, впрочем, конца. Следим за реестрами ФСТЭК Рекомендация по настройке автоматических уведомлений об изменениях в Государственном реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00, устаревшая, правда, после очередных изменений на сайте ФСТЭК. Три новшества в клавиатуре в iOS 8 Пост, опубликованный ради описания механизма установки бета-версий iOS до их официальных релизов. CISO FORUM 2014 Рассказ про моё участие в мероприятии CISO FORUM в качестве спонсора, дополненный роликом из слайдов и аудиозаписи выступления Алексея Волкова про опыт использования электронной подписи в территориально распределенной компании. Железобетонные пруфлинки Как доказать факт наличия какой-либо страницы на сайте, если вдруг она будет удалена владельцем? Примеры в посте. За ПХД! Краткий отчёт о посещении Positive Hack Days 2014. Secret Полишинеля Наглядная демонстрация способа обхода механизмов анонимизации в нашумевшей в начале этого года анонимной социальной сети Secret. Некоторые мои знакомые (видимо) после прочтения этого поста пользоваться Secret перестали =) Краткий фотоотчёт с InfoSecurity Russia 2014 Совсем краткий, но зато с фотографиями. Лидер бестокенной аутентификации выпускает токены Один из немногих "рекламных" моих постов сумел-таки попасть в ТОП, хоть и оказался на последней ступеньке. Помимо публикации постов регулярно обновлял три больших подборки, каждая из которых весь год неизменно пользовалась популярностью: Подборка магических квадратов Gartner'а Список русскоязычных блогов по информационной безопасности и, конечно же, Каталог сертифицированных средств защиты информации (СЗИ), ранее базировавшийся на списке Сертифицированных межсетевых экранов, но со временем, дополнившийся новыми разделами и существенно разросшийся. Каталог СЗИ изначально планировался для собственного удобства, как подборка краткой информации по всем присутствующим на рынкам сертифицированным решениям. Вместо поиска по сайтам производителей или анализу монструозного реестра ФСТЭК гораздо проще было зайти на собственный сайт и быстро просмотреть общую информацию о том или ином сертификате. В дальнейшем для удобства и красоты начал добавлять изображения и краткие описания. Мне уже и сейчас нравится (и не раз выручал) текущий каталог, но работы над ним продолжаются, есть несколько дополнительных идей повышения удобства, благо, что сайт на собственной платформе позволяет гораздо большее, чем просто блог на какой-либо публичной площадке. Пока же, в дополнение к основному ТОПу, представляю вашему вниманию ТОП-15 сертифицированных СЗИ (на основании суммарного числа просмотров): Check Point Security Gateway R75 Checkpoint UTM-1 Edge N Cisco ASA 55хх Dionis NX OfficeScan 10.6 Stonegate IPS ViPNet IDS Аргус, версия 1.5 Детектор атак «Континент» Континент 3.7 Рубикон Ручей-М СКЗИ Континент-АП 3.7 Тор Форпост Не берусь пока комментировать, что означает превышение числа просмотров одних СЗИ над другими, поэтому просто расположил их по алфавиту. В заключение поздравляю всех читателей с Новым Годом! Как сейчас шутят в Twitter: Уходящий год был непростым (2014=21953). Непростыми будут и следующие два года, а вот 2017 снова будет простым. С НОВЫМ ГОДОМ ВАС! Пусть непростого, но интересного и неизменно удачного вам 2015 года! См. также: TOP-10 постов на ZLONOV.ru в 2013 году TOP-10 постов на ZLONOV.ru в 2012 году Изображение
Он уже было направился к столу, но тут внезапно зазвонил телефон. Попить чай в этот день Денису Егоровичу уже не довелось…
В эти дни (24-26 марта) в Экспоцентре в Москве проходит выставка Российская неделя электроники и автоматизации, проводимая совместно ЧипЭКСПО (Новая электроника) и ФАРЭКСПО (Автоматизация. Отраслевые решения). Деловая программа у выставки небогатая, но в первый день включала в себя всё же два интересных круглых стола, посвящённых теме импортозамещения: Импортозамещение в электронике и микроэлектронике и Импортозамещение в промышленной автоматизации. На обоих круглых столах удалось побывать. Вообще, тема эта постепенно становится избитой и заезженной, так как своё мнение по импортозамещению (ИМЗщ) сейчас не высказывает разве что ленивый, но тут с докладами выступали представители отечественных компаний-разработчиков, занимающиеся ИМЗщ не один год и прикладывающие к этому реальные усилия. Говоря в целом, отношение у отечественных производителей электроники и решений по промышленной автоматизации к ИМЗщ крайне скептическое. Есть у них серьёзные опасения, что всё происходящее является не более, чем “игрой в ИМЗщ” и, к сожалению, судя по их словам, все признаки этого есть. Например, рассказывают, что госкорпорации готовы рассматривать отечественные разработки, но часто предъявляют требования по чуть ли не 100%-ой совместимости с уже имеющейся инфраструктурой, а на предложения по оснащению отдельных объектов/систем отечественными решениями с поэтапным наращиванием их числа - просто не идут. Как тут избежать ситуаций, когда переклеиваются шильдики и продукт наиболее вероятного противника наименее вероятного союзника становится самым что ни на есть отечественным (т.н. бумажное ИМЗщ)? Или, скажем, присылают техзадание на разработку, составленное из прямых цитат документации иностранного продукта. При этом производителю, если он хочет предложить своё решение, все разработки нужно вести самостоятельно, часто с нуля, без инвестиций хотя бы в виде предоплаты и с весьма туманными перспективами: “Вы сделайте, а мы рассмотрим, подумаем….”. Общее усреднённое мнение таково: госчиновники и менеджеры госкорпораций, конечно, по теме ИМЗщ что-то делают, но подход у них сугубо процессный - сказано делать, вот и делают, а желание что-то сделать есть далеко не у всех. Тем не менее, имеет место (пусть настороженный) оптимизм в расчёте на то, что если ещё какое-то время не будет послабления санкций, то тема не почит в бозе как ей предшествующие модернизация и инновация. Хочется надеятся, что всё же стрельнёт, а то ведь так все вдохновляющие на перемены слова в русском языке могут и закончиться… Сама же выставка производит впечатление именно что выставки. Как уже отмечал выше, докладов и выступлений немного, а вот выставочные площади большие - производителям действительно есть что показать, всё же микроэлектроника и автоматизация гораздо более материальны, чем тема информационной безопасности, выставки и конференции по которой посещать доводилось гораздо чаще.
Речь идет об оборудовании, приобретенном до введения антироссийских санкций, сбои возникли в программном обеспечении.
Компания Inductive Automation выпустила ряд обновлений, закрывающих уязвимости в продукте Ignition, которые могли привести к раскрытию важных данных, подбору паролей и повышению привилегий в системе. Проблемы безопасности были обнаружены экспертами Positive Technologies во время анализа защищенности АСУ ТП. В исследовании участвовали Евгений Дружинин, Алексей Осипов и Илья Карпов. Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов. Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям, «неубиваемые» после выхода пользователя из системы сессии, хранение аутентификационных данных сервера OPC в незашифрованном виде, а также отображение конфиденциальной информации в сообщениях об ошибке. Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты. Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. Пользователям рекомендуется установить последнюю версию приложения. Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys. В 2012 году специалисты PT представили масштабное исследование «Безопасность промышленных систем в цифрах». В 2013 году в лаборатории Positive Technologies был создан стенд Choo Choo Pwn: модель игровой железной дороги, все элементы которой — поезда, шлагбаумы, светофоры — контролируются с помощью АСУ ТП, собранной на основе трех SCADA-систем. Эксперты компании проводят тематические вебинары и выступают на ведущих международных конференциях по информационной безопасности. Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний. Источник
Хакеры атаковали промышленность США по меньшей мере 245 раз за 12 месяцев, следует из отчета, опубликованного подразделением министерства национальной безопасности США ICS-CERT (US Industrial Control Systems Cyber Emergency Response Team). Отчет охватывает период с 1 октября 2013 года по 30 сентября 2014 года.
Тематика обеспечения информационной безопасности АСУ ТП в тренде вот уже несколько лет, а относительно недавно появившаяся новая модная тема импортозамещения внесла ещё несколько штрихов, поработав дополнительным драйвером и для отечественных разработчиков подобного класса продуктов. Пришла пора разобраться с “обилием” решений и пополнить ими Каталог Средств Защиты Информации.
Актуализировал подборку блогов и площадок по информационной безопасности: https://zlonov.ru/blogs/ В этот раз волевым решением убрал в архив все блоги, в которых не было ни одной записи в 2015 году, в связи с чем список активных блогеров резко сократился. Евгений Царёв, Алексей Чеканов и другие коллеги, вы же интересно пишете - не забрасывайте это дело! =) Зато в списке сразу три пополнения: Блог Стуловой Елены - Информационная безопасность. Блог Естехина Валерия - ИБ. Взгляд снизу. Блог Антука Александра - 0xAA Random notes on security (блог, правда, англоязычный, но решил сделать для него исключение). Вместе с обновлением самого списка обновил и данные по подписчикам, на основе информации из сервиса feedly.com Вот как выглядит ТОП-10 самых читаемых личных блогов по информационной безопасности на сегодня по версии Feedly (в скобках - число подписчиков) (во вторых скобках - твиттер): (530) Лукацкий Алексей (@alukatsky) - Бизнес без опасности (455) Касперский Евгений (@e_kaspersky) - Nota Bene (317) Прозоров Андрей @3dwave - Жизнь 80 на 20 (241) Волков Алексей (@an_volkov) - Безопасность для понимающих и не очень (228) Емельянников Михаил (@emeliyannikov) - Рецепты безопасности от Емельянникова (217) Бондаренко Александр (@AlexBondarenko) - Security Insight (216) Гордейчик Сергей - В тему и offtopic (190) Матросов Александр (@matrosov) - Fuzzing the World (183) Агеев Артем (@4rt3m) - Блог Артема Агеева (181) Стыран Владимир (@secure_galaxy) - ГАЛАКТИКО ВБЕЗОПАСНАСТЕ!!1 На почётном одиннадцатом месте значится мой блог ZLONOV.ru cо 173-мя подписчиками. Буду признателен, если подпишитесь на его RSS-ленту! Приведу и ещё несколько блогов коллег, не упомянуть которые было бы некорректно: (173) Комаров Алексей (@zlonov) - ZLONOV.ru (167) Борисов Сергей (@sb0risov) - ИБ на Кубани (153) Ригель (@xpomob) - Ригельз дыбр (147) Безмалый Владимир (@VladBez) - Быть, а не казаться (142) Бодрик Александр (@obodryk) - Обзор актуальных проблем информационной безопасности Полный список здесь: Список блогов, посвящённых информационной безопасности
После отмены “мобильного рабства” пользователи массово начали переходить от одного оператора к другому с сохранением своего телефонного номера. Уже на начало февраля таких абонентов стало более миллиона (более подробная статистика по числу переходов представлена на сайте ЦНИИС - официального оператора базы данных перенесенных абонентских номеров на основании распоряжения Правительства РФ от 9 октября 2013г. № 1832-р). Таким образом, со временем всё сложнее будет по коду абонента определить его сотового оператора: 903 - теперь не обязательно будет Билайн, а 926 - может и не означать Мегафон. Честно говоря, не очень представляю себе практической ценности от такого рода знаний (разве что это может быть важно при наличии в тарифном плане льготной опции при звонке на телефонные номера конкретного оператора), но, тем не менее, на сайте ЦНИИС соответствующий раздел присутствует: Узнать оператора по номеру телефона. Для защиты от “роботов” данная форма запроса традиционно защищена капчей (CAPTCHA), но, как оказалось, её можно совсем просто обойти. Сейчас расскажу как именно. Моё традиционное внимание к адресной строке браузера было вознаграждено и в этот раз. Вот как выглядит результат на странице сайта после ввода корректной капчи: Ничего необычного: указан номер, выведен оператор, а поле капчи изменено на новое… А вот адресная строка выглядит гораздо интереснее: Как видно, в качестве параметров используются три переменные: num, number и r. Собственно, вполне очевидно, что num - это введённый пользователем номер телефона, оператора которого он хочет проверить. Простые эксперименты и некоторые логические умозаключению показали, что number - это то, что пользователь указал в поле капчи, а r - специальный проверочный параметр, вычисленный заранее. Получается, что алгоритм проверки просто делает расчёт некоторого значения на основании того, что ввёл пользователь (назовём это значение r2), и сравнивает r2 с эталонным r, передавая при этом само r зачем-то в запросе. Вот такая странная реализация. Тут можно было бы подумать, что для обхода алгоритма капчи нужно будет проводить анализ и выяснять принцип вычисления r, но всё оказалось гораздо проще: r никак не зависит от номера телефона, а вычисляется только из символов правильной капчи. На практике это означает, что если у нас есть одна пара соответствующих друг другу параметров number и r, то меня num, можно получать желаемый результат для любого другого телефонного номера. Пара примеров. Вот например, ссылка, которая получается после правильно введённых пользователем символов капчи: http://www.zniis.ru/bdpn/check?num=9031234567&number=3f52ce28&r=366172 Здесь параметры number (то, что пользователь ввёл в поле капчи) и r (проверочное значение, которое должно получаться из number, если оно правильное) соответствуют друг другу, поэтому в качестве параметра num (проверяемый номер телефона) можно передавать всё, что угодно: http://www.zniis.ru/bdpn/check?num=9099999999&number=3f52ce28&r=366172 http://www.zniis.ru/bdpn/check?num=9033333333&number=3f52ce28&r=366172 http://www.zniis.ru/bdpn/check?num=9266666666&number=3f52ce28&r=366172 Не могу сказать, что это какая-то очень опасная уязвимость. Максимум, что она позволяет сделать - это написать скрипт, который выкачает целиком всю базу соответствий номеров телефонов и текущих операторов, к которым эти номера приписаны. Тем не менее, уведомление администрации сайта на указанный в разделе Контакты адрес info@zniis.ru ещё на прошлой неделе я всё же направил. Никакой реакции, ожидаемо, не последовало. Правда, те примеры (с парой number и r), которые были указаны в моём письме, больше не работают. Возможно, что это и есть реакция (смайл) - просто исключили пару проверенных мной number и r, а может r вычисляется каждый день заново и уже завтра примеры из этого поста тоже работать не будут, но пока не поменяется сам принцип проверки, не поменяется и принцип обхода капчи при проверке оператора по номеру телефона на сайте официального оператора базы данных перенесенных абонентских номеров на основании распоряжения Правительства РФ от 9 октября 2013г. № 1832-р.
Исследователи зафиксировали атаку на подключенную к интернету систему управления насосами топливного хранилища.
Продолжая традиции прошлых лет, предлагаю вашему вниманию хит-парад постов за прошедший 2014 год. Места распределены согласно общему числу просмотров, рассчитанных Google Analytics. Читаем между адресных строк или Как узнать учредителей юридического лица Практический пост про то, как можно без сложных утилит и реального взлома обнаружить в открытых источниках информацию, скрытую от посторонних неподготовленных глаз. Углярка против ElcomSoft История одного конкурса на госзакупках без внятного, впрочем, конца. Следим за реестрами ФСТЭК Рекомендация по настройке автоматических уведомлений об изменениях в Государственном реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00, устаревшая, правда, после очередных изменений на сайте ФСТЭК. Три новшества в клавиатуре в iOS 8 Пост, опубликованный ради описания механизма установки бета-версий iOS до их официальных релизов. CISO FORUM 2014 Рассказ про моё участие в мероприятии CISO FORUM в качестве спонсора, дополненный роликом из слайдов и аудиозаписи выступления Алексея Волкова про опыт использования электронной подписи в территориально распределенной компании. Железобетонные пруфлинки Как доказать факт наличия какой-либо страницы на сайте, если вдруг она будет удалена владельцем? Примеры в посте. За ПХД! Краткий отчёт о посещении Positive Hack Days 2014. Secret Полишинеля Наглядная демонстрация способа обхода механизмов анонимизации в нашумевшей в начале этого года анонимной социальной сети Secret. Некоторые мои знакомые (видимо) после прочтения этого поста пользоваться Secret перестали =) Краткий фотоотчёт с InfoSecurity Russia 2014 Совсем краткий, но зато с фотографиями. Лидер бестокенной аутентификации выпускает токены Один из немногих "рекламных" моих постов сумел-таки попасть в ТОП, хоть и оказался на последней ступеньке. Помимо публикации постов регулярно обновлял три больших подборки, каждая из которых весь год неизменно пользовалась популярностью: Подборка магических квадратов Gartner'а Список русскоязычных блогов по информационной безопасности и, конечно же, Каталог сертифицированных средств защиты информации (СЗИ), ранее базировавшийся на списке Сертифицированных межсетевых экранов, но со временем, дополнившийся новыми разделами и существенно разросшийся. Каталог СЗИ изначально планировался для собственного удобства, как подборка краткой информации по всем присутствующим на рынкам сертифицированным решениям. Вместо поиска по сайтам производителей или анализу монструозного реестра ФСТЭК гораздо проще было зайти на собственный сайт и быстро просмотреть общую информацию о том или ином сертификате. В дальнейшем для удобства и красоты начал добавлять изображения и краткие описания. Мне уже и сейчас нравится (и не раз выручал) текущий каталог, но работы над ним продолжаются, есть несколько дополнительных идей повышения удобства, благо, что сайт на собственной платформе позволяет гораздо большее, чем просто блог на какой-либо публичной площадке. Пока же, в дополнение к основному ТОПу, представляю вашему вниманию ТОП-15 сертифицированных СЗИ (на основании суммарного числа просмотров): Check Point Security Gateway R75 Checkpoint UTM-1 Edge N Cisco ASA 55хх Dionis NX OfficeScan 10.6 Stonegate IPS ViPNet IDS Аргус, версия 1.5 Детектор атак «Континент» Континент 3.7 Рубикон Ручей-М СКЗИ Континент-АП 3.7 Тор Форпост Не берусь пока комментировать, что означает превышение числа просмотров одних СЗИ над другими, поэтому просто расположил их по алфавиту. В заключение поздравляю всех читателей с Новым Годом! Как сейчас шутят в Twitter: Уходящий год был непростым (2014=21953). Непростыми будут и следующие два года, а вот 2017 снова будет простым. С НОВЫМ ГОДОМ ВАС! Пусть непростого, но интересного и неизменно удачного вам 2015 года! См. также: TOP-10 постов на ZLONOV.ru в 2013 году TOP-10 постов на ZLONOV.ru в 2012 году Изображение