Огляд закордонної преси за тематикою інформаційної безпеки за листопад: Безпека в США
важкі вибори
Коли в США вибирали чергового президента, ІТ-фахівці усього світу зіткнулися з серйозною проблемою [ 1 ] - відразу кілька компаній випустили набори оновлень, в тому числі критичних. Для Microsoft це був стандартний день випуску оновлень, до нього було підготовлено 14 виправлень, які дозволяли позбутися від 68 вразливостей. Свої помилки [ 2 ] В сервісі AdSense, мобільному браузері Chrome і операційній системі Android виправив і Google - вони давали можливість поширюватися банківського «троянці» Svpeng. Розробники такого проекту, як OpenSSL, вгадали [ 3 ] До виборів випуск виправлення для важливої уразливості в своєму продукті - ця програмна бібліотека використовується в складі підключається до Інтернету обладнання. Компанія Adobe також доклала руку до виправлень, випустивши оновлену версію Flash Player з номером 23.0.0.207, - його дуже часто використовують хакери для проникнення на комп'ютери жертв. Постаралася і компанія SAP [ 4 ] - вона виправила дві уразливості з можливістю виконання команд операційної системи. Загалом, перед ІТ-службами стояв складне питання - що з усього цього «багатства» потрібно оновлювати в першу чергу? І тільки в США ІТ-фахівці вибирали президента.
Правда, в самому Windows 10 Update виявилася одна «фіча» [ 5 ] - якщо під час процедури поновлення натиснути SHIFT-F10, то можна вийти в режим командного рядка. У цей момент з диска знімається захист BitLocker, що дозволяє отримати доступ до диска з правами адміністратора, т. Е. З операційною системою можна робити все що завгодно, якщо, звичайно, вміти працювати з Windows 10 в режимі командного рядка. Таке оновлення здатне принести чимало сюрпризів для власників, а від хакера потрібно тільки фізичний доступ до комп'ютера для підняття повноважень - ніякого додаткового ПЗ встановлювати не доведеться.
Трамп в безпеці
Вибір Дональда Трампа на пост Президента США викликав безліч обговорень в співтоваристві інформаційної безпеки, що пов'язано з публікацією листування демократичної партії. Трамп подякував WikiLeaks за публікацію цієї листування [ 6 ] І засумнівався в причетності до цього інциденту Росії.
При цьому експерти з'ясували [ 7 ], Що Дональд Трамп використовує смартфон на базі Android, що може становити загрозу для національної безпеки. Ця платформа нібито є незахищеною і може бути зламана. Втім, ці дані засновані на пропозиції, що Трамп сам публікує свої пости в соціальних мережах.
У листопаді Дональд Трамп оголосив, що планує вибрати в якості радника з національної безпеки Майкла Флінна, який раніше був головою розвідувального управління міністерства оборони США і озвучував [ 8 ] Концепцію, що США повинні не відсиджуватися в кутку кіберпростору в оборонній позиції, а вести активну наступальну діяльність (читай - атакувати потенційних кіберагрессоров).
Трамп в своєму відеозверненні [ 9 ], Де він оприлюднив плани на перші 100 днів, чималу частину приділив саме кібербезпеки як однієї з головних зовнішніх загроз. Зокрема, він збирається навчити державних чиновників правилам кібербезпеки, щоб ті дотримувалися їх беззаперечно, а не як Хіларі Клінтон. Крім того, він дав доручення міністерству оборони і головного штабу розробити методи захисту критичної інфраструктури США від кіберзагроз та інших типів атак. Так що першочергові заходи поки спрямовані скоріше на захист, ніж на напад.
«Зламав армію»
У листопаді міністерство оборони США оголосило про розширення програми відкритого стрес-тестування власних веб-ресурсів [ 10 ]. Якщо раніше програма тестування Hack the Pentagon ставилася до пошуку вразливостей в статичних сайтах, то нинішня програма - Hack the Army - має відношення до пошуку проблем в базах даних, причому персональної інформації як про військовослужбовців, так і про кандидатів на військову службу. Тестування організовано за допомогою компанії HackerOne, на програму планується витратити 7 млн дол.
Принципи безпеки IoT
Національний інститут стандартів NIST опублікував стандарт NIST Special Publication 800-160 [ 11 ], В якому встановлені процедури безпечної розробки IoT, хоча ні в назві, ні в ключових визначеннях цей термін не використовується. Проте, документ описує інфраструктуру для розробки інтелектуальних пристроїв з метою забезпечити безпеку їх для громадян і навколишнього середовища. Це інструкція для інженерів, детальна і офіційна, що займає більше 200 сторінок.
Для користувачів випущена скорочена версія «принципів безпеки IoT» [ 12 ] - фактично короткий виклад, оскільки обидва документи розроблені однією групою авторів. Дон Росс, який доклав руку до обох документів, на конференції Splunk GovSummit сказав, що мріє зробити IoT-пристрої такими ж безпечними, як міст або сучасні літаки. При цьому передбачається реалізація шести основних принципів. По-перше, безпека повинна бути вбудована в пристрої ще на етапі їх розробки. По-друге, слід передбачити механізми оновлення програмного забезпечення пристроїв, щоб мати можливість виправляти виявлені проблеми. По-третє, необхідно тестувати пристрої для виявлення помилок і вразливостей. По-четверте, безпеку IoT повинна домінувати над іншими характеристиками продуктів. По-п'яте, потрібно забезпечити прозорість розробки ПО таким чином, щоб виправлялися помилки не тільки в самих пристроях, а й в компонентах. Тобто якщо пристрої використовують, наприклад OpenSSL, то на них повинні встановлюватися оновлення безпеки, що випускаються розробниками саме OpenSSL. По-шосте, підключати пристрої, особливо промислові, до Інтернету потрібно обережно і осмислено, інакше шкода бездумного підключення може виявитися вище користі від нього.
Зомбі атакували Ліберії і Німеччину
Діяльність зомбі-мережі Mirai триває. У жовтні ми писали про атаку на DNS-реєстратора Dyn - в листопаді його збирався купити Oracle. Справа в тому, що код зомбі-агента Mirai доступний, тому будь-який недоброзичливець може зомбувати необхідний йому набір комп'ютерів і атакувати будь-яку мету. Зомбі-агентів зафіксували вже в 164 країнах по всьому світу. Власне, саме активність цієї мережі і спонукала розробників NIST випустити свій набір стандартів для забезпечення безпеки підключених до Інтернету пристроїв.
На початку листопада було зафіксовано [ 13 ] Напад за допомогою агентів Mirai на операторів в східно-африканській країні Ліберії. Є відомості, що атаку в якості тесту зробила угруповання під умовною назвою «Botnet # 14». Справа в тому, що країна підключена до Інтернету по одному кабелю, який спільно експлуатують два провайдера, однак атака на канальне обладнання блокує доступ з території цілої країни. Обсяг трафіку мережі оцінюється приблизно в 500 Гбіт / с.
В кінці звітного місяця армія зомбі атакувала [ 14 ] Німецького провайдера Deutsche Telekom, причому це була вже не DDoS-атака, а захоплення домашніх широкосмугових маршрутизаторів, які оператор використовує для організації доступу користувачів. Зомбі Mirai проводили сканування пристроїв на уразливості в протоколі управління TR-064, який працює по порту номер 7547, і, якщо вразливість була присутня, то вони захоплювали контроль над пристроєм. Протокол TR-064 Deutsche Telekom використовувала для технічного управління пристроями, і її інженери вважали, що користуватися цим протоколом можуть тільки авторизовані користувачі. Однак хакерам вдалося виявити уразливості в протоколі аутентифікації і захопити домашні маршрутизатори за допомогою модифікованого зомбі-агента Mirai. Вразливим до цієї атаки виявилося більшість використовуваного компанією обладнання: Eir D -1000 компанії ZyXEL, DSL-3780 компанії D-Link, а також деякі моделі від T-Com / T-home (SpeedPort), MitraStar і Digicom. В результаті від масової атаки постраждали в цілому близько 1 млн німецьких користувачів Deutsche Telekom. Цілком можливо, що захоплені таким способом модеми будуть в подальшому використані в зомбі-мережах для інших атак.
[1] https://krebsonsecurity.com/2016/11/patch-tuesday-2016-us-election-edition/
[2] http://arstechnica.com/security/2016/11/google-stops-adsense-attack-that-forced-banking-trojan-on-android-phones/
[3] http://www.securityweek.com/openssl-patch-high-severity-flaw-version-110
[4] https://www.infosecisland.com/blogview/24844-SAP-Cyber-Threat-Intelligence-Report-November-2016.html
[5] http://www.securityweek.com/shiftf10-during-windows-10-updates-can-bypass-bitlocker
[6] http://venturebeat.com/2016/11/16/trump-transition-team-now-lacks-cyber-security-expertise/
[7] http://nationalcybersecurity.com/trumps-hackable-android-phone-security-threat-us-experts-warn/
[8] http://www.computerworld.com/article/3143075/security/michael-flynn-trumps-nsa-pick-is-a-cybersecurity-hawk.html
[9] http://www.infosecurity-magazine.com/news/trump-mentions-cyber-in-100day-plan/
[10] http://nationalcybersecurity.com/us-military-launches-hack-army-ambitious-bug-bounty-yet/
[11] http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160.pdf
[12] http://federalnewsradio.com/technology/2016/11/nists-final-version-agency-cybersecurity-guidance-builds-trust-encourages-iot-conversation/
[13] http://www.securityweek.com/mirai-botnet-takes-down-internet-liberia
[14] http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/
Схожі записи:
Загалом, перед ІТ-службами стояв складне питання - що з усього цього «багатства» потрібно оновлювати в першу чергу?