Защищенность российских информационных систем падает с каждым годом: в 2014 году 77% критически важных приложений крупных компаний и госпредприятий содержали опасные уязвимости. Еще больше усложняет ситуацию курс на импортозамещение: приходится строить системы из «сырого» отечественного ПО. Чтобы ответить на эти вызовы безопасности, необходимы защитные решения нового поколения, сочетающие серьезный научный подход и высокую степень автоматизации для раннего обнаружения угроз. Этими и другими наблюдениями поделились с журналистами эксперты компании Positive Technologies на пресс-конференции, посвященной безопасности приложений.

Невзирая на 15-летний опыт работы на ИБ-рынке, компания нечасто проводит подобные публичные презентации для СМИ. Одним из поводов для «раскрытия» стало недавнее исследование IDC, согласно которому Positive Technologies заняла 3-е место на рынке защитного ПО в России. После публикации этого отчета стало ясно, что для некоторых журналистов «защитное ПО» является синонимом «антивируса», поскольку они гораздо хуже знакомы с другими технологиями безопасности — включая системы анализа защищенности, контроля соответствия стандартам, анализаторы кода, системы защиты приложений.

Об этих технологиях эксперты и решили рассказать журналистам. Тем более что появился ещё один повод: компания Positive Technologies недавно выпустила новую линейку продуктов для защиты приложений в самых разных отраслях, включая интернет-банкинг и ERP-системы, порталы госуслуг и веб-сервисы телекомов. Не исключено, что эти разработки серьёзно изменят рынок информационной безопасности – как российский, так и мировой.

Крупные компании не любят рассказывать о своих неудачах в области безопасности, поскольку это подрывает их репутацию. Поэтому в России, где нет законов о раскрытии инцидентов, крайне мало статистики по этому вопросу. А раз нет статистики, то может сложиться ощущение, что нет и проблем.

Однако новое исследование Positive Technologies показывает, что это не так: в 2013 году заметные инциденты в сфере информационной безопасности происходили во всех крупных компаниях, руководители которых были опрошены в ходе исследования. И более чем в половине компаний инциденты привели к существенным проблемам, включая финансовые потери.

Может ли вуз подготовить студента к работе в IT-инфраструктуре современного предприятия? С одной стороны, это прямая задача учебного заведения. Но с другой — мы все помним фразу: «Забудьте всё, чему вас учили в институте», — которой встречают студентов на производстве. Увы, образование не всегда успевает за реальностью, и в особенности это касается сферы информационных технологий, где изменения происходят настолько быстро, что вузовскому преподавателю трудно уследить за всеми инновациями. А значит, необходима тесная связь между преподавателями и отраслевыми специалистами-практиками.

В этом году исполнилось два года проекту Positive Education — некоммерческой программе компании Positive Technologies. Цель проекта — способствовать выработке современных, ориентированных на практику методик обучения молодых специалистов в области информацонной безопасности. На сегодняшний день в программе участвует более четырех десятков учебных заведений России, включая МГУ, МГТУ, МАТИ, ИНЖЭКОН, ДВФУ, ОмГТУ.

Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни — смартфоны и планшеты, домашние маршрутизаторы, ноутбуки.



Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgid). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen соответственно.

В конце августа газета Washington Post обнародовала буклет американской компании Verint, которая предлагает своим клиентам сервис Skylock по выслеживанию абонентов мобильных сетей в разных странах мира – без ведома самих абонентов и операторов. Хотя предложения локационных сервисов давно можно найти в Интернете, но случай Verint, пожалуй, один из первых, когда такие услуги предлагаются вполне официально и на глобальном уровне.

Как такое возможно? В качестве реакции на истории о мобильной слежке чаще всего выдвигается версия о сложных технологиях, которые могут использоваться лишь спецслужбами. На практике всё проще. Телекоммуникационная сеть состоит из множества подсистем различного технологического уровня, и уровень безопасности всей сети зачастую определяется уровнем самого слабого звена.

Анализ больших потоков данных стал в последние годы серьезной проблемой для самых разных средств безопасности. Сканеры уязвимостей и межсетевые экраны, системы управления инцидентами и DLP-модули — все они имеют дело с тысячами событий, которые агрегируются ежедневно, ежечасно или даже ежеминутно. Специалистам по безопасности очень непросто разбирать эти бесконечные логи вручную. Да и оперативность защиты страдает: даже если система обнаружила критическую уязвимость или атаку, нужно еще время, чтобы эту находку заметил человек среди множества других сообщений.

Летом мы провели небольшой конкурс под названием «Чего нам не хватает в SIEM». Практически все ИБ-специалисты, приславшие нам свои отзывы о современных системах мониторинга безопасности, отметили необходимость «умного» интерфейса, который позволял бы автоматически сортировать и визуализировать данные, чтобы заострить внимание экспертов на самых важных результатах.

Аналогичные запросы возникли и у пользователей системы контроля защищенности и соответствия стандартам MaxPatrol. Данная система применяет одну из крупнейших в мире баз уязвимостей для сканирования инфраструктур крупнейших компаний, банков, телекомов и промышленных предприятий с десятками тысяч узлов. Можно себе представить, какими порядками описывается количество записей в результатах аудита!

Атака на корпоративный сайт не только нарушает работу онлайновых услуг и подрывает репутацию владельцев, но зачастую становится первым этапом взлома внутренних сетей крупных компаний. При этом, согласно исследованию компании Positive Technologies, в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. Исследователи выявили самые распространенные уязвимости и оценили, насколько эффективны методы их обнаружения.

Всего в ходе тестов по анализу защищенности, проводившихся компанией в 2013 году, было изучено около 500 веб-сайтов, для 61 из них проводился более углубленный анализ.

Значительная часть исследованных порталов принадлежала банкам — из-за участившихся атак в этой сфере. Также увеличился спрос на анализ безопасности сайтов СМИ, что связано с громкими случаями их взломов и распространения дезинформации. Кроме того, исследовались сайты государственных учреждений, промышленных предприятий и телекоммуникационных компаний.

Выяснилось, что 62% сайтов в 2013 году содержали уязвимости высокой степени риска. Данный показатель существенно выше прошлогоднего (45%). Больше всего приложений с уязвимостями высокой степени риска было выявлено на сайтах СМИ (80%). Что касается сайтов дистанционного банковского обслуживания, то ни одна из исследованных систем ДБО не соответствовала полностью требованиями стандарта безопасности PCI DSS.



Наиболее распространенные уязвимости (доля сайтов, %)

Атомные и гидроэлектростанции, нефте- и газопроводы, заводы, транспортные сети (метро и скоростные поезда), а также многие другие жизненно важные для человечества системы управляются с помощью различных компьютерных технологий. Уязвимости и ошибки безопасности в таких промышленных системах могут привести к нарушению жизнедеятельности городов — например, сбой в работе городского транспорта может привести к масштабному коллапсу.

Крупному бизнесу с каждым годом сложнее защищаться от кибернападений и все больше успешных атак может провести злоумышленник низкой квалификации. Такие выводы содержатся в исследовании компании Positive Technologies на основе тестов на проникновение, проведенных в 2013 году, и сравнения полученных данных с результатами аналогичного исследования за 2011—2012 гг.

Для исследования были выбраны 14 систем крупных государственных и коммерческих компаний — как российских, так и зарубежных. Большинство из них относятся к сфере промышленности, также в список вошли телекомы, банки, строительные компании. Более трети исследованных компаний представляют собой распределенные системы с множеством филиалов в разных городах и странах.

Согласно полученным данным, в 2013 году 86% корпоративных систем оказались подвержены уязвимостям, позволяющим получить полный контроль над критически важными ресурсами — платежными системами, электронной почтой, хранилищами персональных данных и документов, ERP-системами (например, SAP), АСУ ТП. Половина рассмотренных систем позволила получить полный контроль над критическими ресурсами со стороны внешнего злоумышленника. Для каждой третьей системы (29%), чтобы получить контроль над такими ресурсами, достаточно иметь доступ к пользовательскому сегменту внутренней сети.



Только 14% важнейших ресурсов защищены на практике, а не на бумаге

Более половины (57%) систем, исследованных в 2013 году, содержали критические уязвимости, связанные с использованием устаревших версий ПО и ОС, что хуже результатов предыдущих лет (45%). Средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В одной из систем была выявлена опасная уязвимость 9-летней давности (2004 год).

Иной раз сидишь за рабочим столом, протягиваешь, не глядя, руку к мобильному телефону, и вдруг бац — его нет на месте. Ты шаришь по карманам, проверяешь в рюкзаке, в куртке — нигде нет. Может, в машине оставил или вообще — дома? Похожее ощущение бывает, когда не можешь найти ключи от квартиры: при этом испытываешь легкую панику. Ничего удивительного: мы уже не представляем себе жизнь без телефона и всегда полагаемся на мобильную связь. Это значит, что опасность эксплуатации уязвимостей в мобильных технологиях грозит каждому из нас.

Недавно мы опубликовали статью «Прослушка украинских мобильников: как это сделано и как защититься», которая вызвала много споров и вопросов. По просьбам читателей мы решили развить эту тему, и теперь вы можете задать вопросы одному из авторов данной статьи, Дмитрию Курбатову, в ходе «живого» вебинара, который состоится в четверг 7 августа в 14 часов на сайте компании Positive Technologies.

Безопасность информационных ресурсов начинается с безопасности сетевой инфраструктуры, и чем она сложнее, тем труднее ее защищать.

В свободном доступе можно найти инструкции по безопасной настройке практически любого сетевого устройства. Кроме того, регулярно публикуются сведения об уязвимостях с рекомендациями по их устранению. Но подобной информации слишком много, и мы не можем проводить все свое рабочее время, разбираясь в нескончаемом потоке инструкций… Как защитить сеть, ничего не упустив, и при этом оптимизировать трудозатраты?

В этом году на Positive Hack Days проходил конкурс WAF Bypass, участники которого могли попробовать свои силы в обходе PT Application Firewall. Для нас проведение такого конкурса было отличным шансом проверить продукт в бою, ведь на конференции собрались лучшие специалисты в области информационной безопасности.

Для конкурса мы подготовили набор заданий. Каждое представляло собой сценарий с типовой уязвимостью: с ее помощью нужно было добыть флаг. Все задания имели решение, но решения не всегда были очевидными. Участникам был доступен отчет о сканировании исходных кодов заданий с помощью другого продукта нашей компании — Application Inspector. В этом посте мы расскажем о заданиях, обходах и полученном опыте.

В этом году конкурс Hash Runner проводился в течение трех дней перед форумом Positive Hack Days, с семи вечера 16 мая до семи вечера 19 мая (время московское, UTC+4). Тем самым мы постарались учесть интересы всех команд, разбросанных по земному шару, и позволить участникам эффективно использовать все 48 часов выходных дней, в каком бы часовом поясе они ни находились. Многие написали нам, что играть на выходных действительно было очень удобно, так что постараемся делать так и впредь.

Итак, поздравляем победителей!

1. InsidePro с результатом 22.81% (write-up: www.phdays.ru/download/Write-up.pdf) выиграли две видеокарты R290x.
2. Hashcat с результатом 21.23% (write-up: hashcat.net/forum/thread-3397.html) выиграли видеокарту R290x.
3. John-users с результатом 12.78% (write-up: openwall.com/lists/john-users/2014/05/29/2) взяли бронзу.

Всем призерам мы вручили сувениры на память о форуме.

За трехлетнюю историю проведения конкурса победителями становились команды hashcat (выступавшие под названием teardrop в 2012 году), john-users (в 2013) и InsidePro (в 2014). Каждый раз бОльшую часть расшифрованных паролей участники загружали в последние 15 минут соревнования, поэтому только в самом конце становилось ясно, кто же победит. В прошлые два года команда InsidePro довольствовалась вторым местом: в 2012 их обошли hashcat, а в 2013 — john-users. В этом году ребята из InsidePro наконец-то стали первыми!

Начиная с 2011 года эксперты исследовательского центра Positive Research регулярно проводят бесплатные онлайновые лекции (вебинары) в рамках образовательной программы «Практическая безопасность». Цель проекта — повышение осведомленности IT-специалистов о современных угрозах, технологиях защиты и методах оценки защищенности различных инфраструктур.

За прошедшие годы у нас накопился большой архив этих выступлений. И мы решили посмотреть, какие тематики больше всего интересуют ИБ-специалистов.

Электричество дорожает, и глобальная экономика усиленно ищет способы повысить свою энергоэффективность. Помимо солнечных и ветряных установок во всем мире идет активное строительство «умных» сетей распределения электроснабжения, так называемых Smart Grid, которые позволяют использовать энергию рационально. Они обычно автоматизированы и подключены к интернету, что вызывает естественный интерес к уровню их защищенности.

Окружающие нас предметы становятся все функциональнее и удобнее. Сегодня интернет есть уже не только в автомобилях, но и в некоторых микроволновках и холодильниках, а по прогнозу аналитической компании Gartner, к 2020 году количество бытовых устройств, подключенных к Сети, превысит 26 млрд при объеме рынка в 300 млрд долларов.



При этом мало кто из пользователей отдает себе отчет в том, что, как и обычные компьютеры с доступом в интернет, гаджеты, образующие так называемый интернет вещей, могут быть атакованы злоумышленниками. Чтобы продемонстрировать возможные последствия такой атаки, организаторы PHDays создали копию реальной квартиры, оборудованной различными электронными приборами и системой «умного дома». По легенде конкурса, из-за сбоя дом «сошел с ума» и стал настоящей ловушкой для своего хозяина, освободить которого и должны были участники соревнования.

В лентах новостных сайтов вы уже не раз читали о том, как спецслужбы разных стран отслеживают переговоры и передачу данных обычных граждан. Сейчас набирает обороты новый скандал с прослушкой украинских абонентов, осуществляемой якобы с территории России.

Мы уже писали о том, какие угрозы существуют в мире мобильной связи, и сегодня хотим еще раз рассказать об одном из векторов атак, направленных на мобильных абонентов.

Если коротко, схема такая. Атакующий внедряется в сеть сигнализации SS7, в каналах которой отправляет служебное сообщение Send Routing Info For SM (SRI4SM), указывая в качестве параметра телефонный номер атакуемого абонента А. В ответ домашняя сеть абонента А посылает атакующему некоторую техническую информацию: IMSI (международный идентификатор абонента) и адрес коммутатора MSC, который в настоящий момент обслуживает абонента.



Далее атакующий с помощью сообщения Insert Subscriber Data (ISD) внедряет в базу данных VLR обновленный профиль абонента, изменяя в нем адрес биллинговой системы на адрес своей, псевдобиллинговой системы.

В рамках международного форума Positive Hack Days IV, прошедшего в Москве 21 и 22 мая, по традиции состоялось хакерское соревнование Capture The Flag. На протяжении двух дней 10 команд из 6 стран мира взламывали сети соперников и отбивали их атаки.

Традиционно инфраструктура и задания Positive Hack Days CTF разрабатываются согласно общей легенде, которая является настоящей изюминкой соревнований. Во время прошлогоднего CTF участники перевоплотились в спасителей сказочного мира D’Errorim, которому угрожала гибель. Справившись с заданием, они осознали, что сражались не на той стороне, и теперь опасность грозит их собственному дому. Таким образом сюжетная линия объединяет PHDays III CTF, через отборочные соревнования CTF Quals, с финальной битвой во время PHDays IV.

Полный текст легенды соревнований — на сайте форума.

Во время международного форума Positive Hack Days IV состоялся конкурс по анализу безопасности критической инфраструктуры под названием Critical Infrastructure Attack. Участники соревнования должны были обнаружить и эксплуатировать уязвимости для получения контроля над системами промышленной автоматизации.



Впервые соревнование под именем Choo Choo Pwn состоялось на PHDays III — тогда для конкурса была создана модель транспортной системы, управляемая реальной системой АСУ ТП.

Сегодня мы расскажем о некоторых практических аспектах сбора конфиденциальных данных на примере онлайн-конкурса «Конкурентная разведка», состоявшегося 15, 16 и 17 мая.

По сравнению с прошлым годом задачи стали гораздо сложнее. В арсенале конкурентного разведчика должны быть самые разнообразные навыки, включая владение тулзами и плагинами, поэтому уровень хардкора было решено немного повысить. Впрочем, никуда не делись и традиционные требования к дедукции и умению искать связи.