Архив тегов: cyber criminal

Прогноз кибер-погоды 2017.

Так устроен homo sapiens, что ему постоянно и отчаянно хочется хоть одним глазком заглянуть за горизонт — увидеть какое будущее нам уготовано, как выглядит завтра? Да простится ему сие неразумное любопытство, поскольку homo sapiens «уготавливает» своё будущее сам, каждый божий день, своими собственными делами. Ну, если, конечно, не принимать в расчёт циклы Миланковича и другие силы природы :)

А по-научному заглянуть в будущее можно внимательно проанализировав настоящее. Это, кстати, относится и к кибербудущему, а особенно безопасности этого кибербудущего. Именно таким анализом мы занимаемся каждый год на киберслёте лучших секюрити-умов планеты — Security Analyst Summit (SAS):

Ой, не то. Вот:

Опс, вернее как-то так :)

В общем, каждый год я не перестаю удивляться как оно хорошо получилось и недоумеваю как это можно превзойти. И таки в следующий раз мы превосходим и улучшаем, делаем мероприятие «быстрее, выше, сильнее», привлекая всё больше экспертов по кибербезопасности и наглядно улучшая качество контента в том числе эксклюзивными материалами.

Вот о материалах сейчас и пойдёт речь. Предлагаю топ-5 на мой вкус самых-самых презентаций. Это не значит, что остальные были «соу-соу»: во-первых, все презентации, особенно происходящие в разных залах, посетить невозможно. А во-вторых, на вкус и цвет все фломастеры разные (c)

Ну, поехали!

Дальше: угнать дрон за 11 милисекунд…

Ай-да новости: маркетинг vs. кибергопники + перезагрузка Лайнера Мечты.

Снова в эфире уже традиционная рубрика про хрупкость нашего всемирного цифрового дома. Интересных новостей про киберзловредство накопилось много! Да что там, поток таких новостей постепенно переходит из режима горного ручейка в масштаб полноценной Ниагары.

Как ветеран киберобороны скажу, что раньше катаклизмы планетарного масштаба обсуждались по полгода. А сейчас поток сообщений как лососи на нересте — толком и поговорить не о чем. «Слышал, хакнули Мегасуперкорпорацию, украли всё, и даже хомячка гендиректора самоуправляемый дрон унёс в неизвестном направлении?» — «Вчера ещё! А вот ты слышал…?»

Обычно в этой рубрике было в среднем по три новости зараз. Но приходится подстраиваться под обстоятельства, и сегодня будет горячая семёрка по-своему важных и интересных историй из мира цифровой опасности.

«Зарази братуху — получи скидку»

Киберпреступники давно ведут свою криминальную деятельность как бизнес. До нас доходили истории про «партнёрские конференции», когда одни преступные группы собирали другие, чтобы обсуждать сотрудничество и стратегию. Не чужды, в общем, негодяи учебников по менеджменту и маркетингу. А о чём надо думать, строя бизнес? О продуктах и услугах, разработке, организационной структуре, каналах — да много о чём!

Вот некие вымогатели почесали голову и предложили сделать своих жертв прямыми соучастниками в деле распространения малвары. Злобный сетевой маркетинг в худшем виде: зарази двух знакомых и получи ключ от своих файлов бесплатно.

Наступив в какую-нибудь гадость, ты получаешь предложение: плати или подгадь двум людям из списка контактов — пусть они платят (или дальше распространяют). И каждый будет потом чесать голову, то ли сам кликнул не на ту ссылку или забрёл в глубокие и заразные дебри без адекватной защиты, то ли какой-то друг сволочь виновата. Хорошо, что о реальных заражениях ничего неизвестно — это пока полуфабрикат, найденный исследователями в мутных тёмных глубинах даркнета.

Дальше: хэдхантинг по-хакерски…

История зловредности: суета вокруг DDoS-а.

Что интересно: термин «DDoS» прочно вошел в обиходный лексикон. Во всяком случае, новостные порталы уже давно перестали расшифровывать эти четыре буквы широкой публике. Всем уже понятно: если «DDoS» – то кому-то сейчас плохо, что-то важное не работает, сотрудники скучают, а телефоны техподдержки пострадавшей организации требуют водяного охлаждения по причине массовых звонков недовольных клиентов. Причём в подавляющем большинстве случаев за подобной атакой стоит чей-то злой (а часто ещё и корыстный) умысел.

DDoS-атаки со временем становятся всё более жёсткими, технически грамотными, периодически применяют совершенно необычные методы нападения, выискивают новые цели и ставят очередные (анти-)рекорды. Мир меняется, становится «всё и всегда онлайн», число старых-добрых компьютеров теперь в разы меньше разных прочих «умных» устройств, подключённых к сети.  Вот, читаем новости: с помощью таких железок уже случился массовый DDoS российских банков.  А до этого ботнет из камер и домашних роутеров Мирай ставил рекорды по мощи кибергрязевого потока. Раньше элементами ботнетов были зомби-компьютеры, скоро будут зомби-холодильники, электровеники и кофеварки с пылесосами.

ddos-1

Что будет дальше?

Да ничего хорошего, мы же знаем что было в прошлом и что из этого вышло. Посему, наверное, имеет смысл оглянуться и окунуться в историю DDoS-атак, чтобы подготовиться к ледяному дыханию будущего.

Вот моя очень субъективная «горячая восьмерка» распределённых вредоносных атак, вошедших в историю. От  каждой из них какой-нибудь важный и значительный кусок сети или значимый сервис с грохотом падал. Сразу надо признаться, что не все они «чисто DDoS-атаки» в современном понимании, но элемент распределенности атаки, повлекшей отказ в обслуживании присутствует в каждой.

Дальше: червяки, вирусы, трояны и другие обитатели киберпространства…

Ай-да новости: о спасении мира от шифрователей и о лучших в мире исследователях.

Привет, друзья, снова в эфире рубрика «Кошмарный сон сисадмина становится явью». Обычно у нас в ней звучит композиция в стиле «всё плохо и становится хуже». Там что-то взломали, здесь что-то обрушили. Видеокамеры устроили ДДоС, например, бетономешалкам. Повсюду черви, троянцы, вирусы, их всё больше, и они всё наглее и скрытнее. Так выглядит мир глазами специалиста по IT-безопасности.

Но на этот раз, удивительное дело, почти все новости хорошие. И в нашей параноидальной отрасли такое случается! И, что приятно, появляются хорошие новости не без нашей помощи.

Ударным трудом по вымогателям и шифрователям!

В понедельник мы запустили новый проект для помощи жертвам шифрователей-вымогателей. Называется он ‘No More Ransom’ и содержит новый бесплатный расшифровщик для вымогателя Shade. Кроме этого там лежат расшифровщики для некоторых других негодяйских программ включая CoinVault и TeslaCrypt. Проект этот совместный с голландской полицией, Европолом, а также с уважаемыми конкурентами из Интел Секьюрити, также известными человечеству как Макафи.

inews1

Что тут сказать? Эпидемия шифровальщиков захлестнула человечество. Больницы, коммунальные предприятия, полицейские участки, многие тысячи и тысячи бизнесов и без счёта обычных граждан пострадали от этой подлой дряни. Легко рекомендовать не платить вымогателям, но что делать, если вдруг бизнес без своих данных как будто на полном ходу въехал в стену? Если вы обычный пользователь и вдруг потеряли все семейные фотографии? Многие, к сожалению, вынуждены платить. Наша цель – чтобы этого делать не надо было в принципе. И в этот проект будут добавляться всё новые дешифраторы.

Дальше: кибер-олимпиада и вредные кибер-советы…

Ай-да новости: об уже наступившем будущем и нестареющей малваре.

Как всегда в данной рубрике, у меня для вас несколько новостей. Как обычно, в основном они, конечно, плохие. Но поводы для оптимизма тоже есть, правда, немного.

Итак, история первая, о наступившем будущем.

Иногда будущее оказывается мрачным. Кадр из кинофильма Blade RunnerИногда будущее оказывается мрачным. Кадр из кинофильма Blade Runner

Многие авторы любят пофантазировать о том, как оно будет в будущем. Иногда произведения писателей-фантастов – это глубокие философские размышления о человеке и его месте во вселенной, как у братьев Стругацких. Часто это размышления невеселые.

Но иногда – это творчество в гораздо более легком жанре. Ваш покорный слуга иногда в 2000-е годы любил в своих презентациях пошутить и попугать слушателей рассказами о будущем, в котором кофеварка дидосит холодильник, а микроволновка сканирует заводские пароли у комбайна с соковыжималкой. Например, чтобы показывать на них рекламу для пылесоса с мультиваркой.

И вот, к сожалению, что-то в таком духе на глазах начинает сбываться. Маленький оффлайновый ювелирный магазин пожаловался на DDoS своего сайта. Выяснилось, что виноват ботнет, состоящий из 25 тысяч камер видеонаблюдения. И это не первый случай! Уже был еще один ботнет поменьше на камерах и холодильник-спаммер.

Дальше: дальше — больше…

Ай-да новости: о червях в реакторе и хакерах-троечниках.

Иногда от текущего новостного фона рука тянется проверить фон радиационный. Тревожные какие-то сообщения попадаются последнее время. Или это я эмоционально реагирую? Вот, например:

История первая, ядрёная.

inews-1Баварская, а точнее швабская АЭС, фото с просторов Википедии

Немецкая Гундреммингенская АЭС в солнечной Баварии, а точнее даже в Швабии, аккурат в 30-ю годовщину аварии в Чернобыле докладывает, что одна из её внутренних IT-систем, обслуживающих реактор Б, была заражена гадкими зловредами. Также сообщают, что волноваться не стоит, опасности никакой, все нормально, спите спокойно, дорогие граждане, всё под контролем, уровень опасности самый низкий, практически отрицательный.

Ну, хорошо, думаешь, и читаешь дальше.

По мере чтения новостей, однако, в сообщениях об этом инциденте появляются некоторые дополнительные подробности. Вроде бы всё хорошо, и фон радиационный не изменился. Но как-то неуютно. Поточил добрый дедушка бритву и убрал в коробочку. А мог бы и полоснуть.

Например, заражение произошло в изолированной от интернета системе, которая управляет движением топливных (ядерных) стержней. Тут останавливаешься, трёшь глаза, перечитываешь…

Дальше: ЕМНИХВОХЧЛЫЫВЛО!!!!!!!??…

Большая картина.

Весной прошлого года мы обнаружили Duqu2 – очень профессиональную и дорогостоящую кибершпионскую операцию с господдержкой какой-то дружественной страны. И вычислили мы её тогда при тестировании бета-версии Kaspersky Anti Targeted Attack Platform – специального решения против подобных целевых атак.

И вот, ура! — продукт официально зарелизен и готов к употреблению!

Kaspersky Anti Targeted Attack Platform

Но вначале немного лирики о том, как мы дошли до жизни такой и почему потребовалась такая специфическая защита.

Дальше: Раньше не только солнце было ярче и небо синéе…

Берегись автомобиля!

Периодически (примерно раз в несколько лет) в кибермире случается очередная нехорошая неприятность. Что-то совершенно неожиданно ново-зловредное. Для большинства из нас (вас) – это очередной нежелательный сюрприз. Мы с коллегами обычно между собой комментируем это так: «ну вот, дождались…». Мы видим и понимаем основные тенденции «дарк-интернета», представляем стоящие за ними силы и их мотивацию, можем прогнозировать векторы развития ситуации.

Короче, зловредные сюрпризы для меня и наших экспертов — в большинстве своём давно ожидаемые события, которые вот, наконец-то произошли. И тут настаёт тот неловкий момент, когда приходится выступать с речью на тему «Добро пожаловать в новую эпоху». Типа, «мы же вас давно предупреждали»…

Что на этот раз? Автомобильное!

Вчера в WIRED была опубликована статья, начинающаяся словами: «Я вёл машину на скорости 70 м/ч, когда эксплойт овладел системой управления» (70 м/ч ~= 110 км/ч). В сей статье описан успешный эксперимент по удалённому взлому «чересчур умной» машины: секюрити рисёрчеры разобрали электронную систему Uconnect Jeep Cherokee, нашли уязвимость и через Интернет сумели получить контроль над критическими функциями автомобиля. И это не единичный «лабораторный» кейс, а дыра в почти полумиллионе машин с Uconnect. Опппааа…

can2

На самом деле, проблема безопасности «умных» машин не нова. На эту тему я шутил 1-го апреля 2002-го года. Дошутился :) Дурацкая шутка получилась :(

Да, всё логично и понятно. Производители борются за покупателя, а редкий покупатель сейчас ходит без смартфона с интернетами, так что машина (чем дороже, тем быстрее) потихоньку превращается в его придаток. Смартфона и интернета, а не пользователя – если вдруг кто-то неправильно понял ход моей мысли.

В смартфон выносят всё больше функций управления и диагностики автомобиля. Uconnect здесь не одинок – практически у каждого крупного производителям есть свой аналог разной степени продвинутости: Volvo On Call, BMW Connected Drive, Audi MMI, Mercedes-Benz COMAND, GM Onstar, Hyundai Blue Link и многие другие.

На практике оказывается, что в этой гонке вооружений, частенько игнорируются вопросы IT-безопасности.

Почему?

Во-первых, нужно быстрее-быстрее возглавить модное направление («а потом разберёмся»); во-вторых, удалённое управление – это перспективный бизнес (а план продаж горит!); в-третьих, среди автопроизводителей распространено мнение об автономности технологий – вроде как в электронную начинку машины ни у кого ни желания, ни мозгов не хватит залезть. Ну, конечно же, и то и другое регулярно случается.

С лирикой занончили. Теперь про физику явления. А с физической технической точки зрения происходит вот что.

В далёком-лохматом 1986г. компания Bosch разработала стандарт CAN, который регулирует обмен данными между различными устройствами (микроконтроллерами) напрямую, без центрального компьютера. Микроконтроллер центральной панели при нажатии на кнопку «Кондиционер» сообщает микроконтроллеру, ага, кондиционера, что водителя нужно охладить. Нажали на педаль тормоза – снова микроконтроллеры обменялись сигналами и тормозные колодки трутся об металл.

can

Иными словами, если верить достоверным источникам информации, электронная система современного автомобиля – это одноранговая компьютерная сеть, спроектированная ~30 лет назад. Несмотря на то, что с тех пор CAN пережил множество редакций и прокачек, он до сих пор не имеет никаких секюрити функций. Это понятно – какой дополнительной безопасности требовать, например, от COM-порта? CAN – это низкоуровневый протокол, «транспорт» и в его описании прямо сказано, что безопасность должны обеспечивать использующие его девайсы (приложения).

То ли мануалов не читают, то ли слишком увлеклись конкурентной борьбой, но факт налицо: [некоторые] автопроизводители навешивают на CAN всё больше контроллеров, не заботясь об основных правилах безопасности. На одну и ту же шину, не подразумевающую контроля доступа, вешают целиком внутреннюю систему управления всем-всем.

В действительности, как и в «большой» компьютерной сети в автомобилях необходимо разделение доверия к контроллерам. Штуки, которые общаются с внешним миром, будь то установка приложений в медиасистему из онлайн-магазина или слив диагностики производителю должны быть жёстко разделены с системой управления двигателем, безопасности и другими критическими блоками!

Если автомобилем управляет, скажем, Android-приложение, то любой специалист по безопасности с ходу перечислит десяток вариантов, как обойти защиту и перехватить управление. В данном случае автомобиль не сильно отличается от банковского счёта и к нему могут быть применимы схожие технологии взлома, например, с помощью банковских троянцев. Ну, и, конечно, остаётся вероятность взлома через уязвимость, как в случае с Jeep Cherokee выше.

Что вселяет оптимизм?

О проблеме знают и относятся к ней серьёзно. Сразу после публикации статьи в WIRED, в США немедленно организовались законодательные инициативы по стандартизации автомобильных технологий в области кибер-безопасности. Производители тоже по мере сил стремятся решить проблему: недавно американский Auto Alliance анонсировал создание «Центра обмена и анализа данных» (правда, не представляю, как они собираются работать без представителей секюрити-индустрии). Мы сами работаем с несколькими брендами (не скажу какими) — консультируем как сделать лучше.

В общем, есть свет в конце тоннеля. Однако…

… однако, описанная проблема безопасности не ограничивается автомобилестроением. CAN и ему подобные стандарты используются в промышленности, энергетике, транспорте, умных домах, даже в лифте в вашем офисном здании — везде, ВЕЗДЕ!! И везде одна и та же проблема: наращивание функциональности идёт без учёта безопасности! Главное побыстрее, покруче накрутить, привязать к смартфону, подключить к Интернету! А потом оказывается, что и самолётом можно управлять через его развлекательную систему.

com

Что делать?

Выход номер один – пересесть на старые, до-Интернет технологии типа винтовых самолётов с аналогово-механическими системами управления… Шутка, конечное же. Никто «вперёд в прошлое» не собирается, да уже и не сможет. Технологии прошлого тормозные, неудобные, низкоэффективные, да и… менее безопасные! Так что назад пути нет. Только вперёд!

Движение вперёд в эпоху полимеров, биотехнологий и цифр даёт просто сумасшедшие результаты – просто посмотрите вокруг себя и внутрь своих карманов. Всё движется, летает, доставляется, сообщается и обменивается на принципиально других скоростях по сравнению с предыдущими эпохами. Автомобили (да и другие транспортные средства) только часть этого.

Всё это действительно делает жизнь более комфортной и удобной, к тому же «цифра» закрывает многие старые проблемы надёжности и безопасности. Но, увы, одновременно создаёт и новые проблемы. И если вот так сломя голову рваться вперёд-вперёд, без оглядки, тяп-ляп «гнать функционал», то в конце концов мы придём к непредсказуемым и даже фатальным последствиям. Примерно как Цеппелины.

А ведь можно (и нужно!) сразу сделать красиво! Нужны отраслевые стандарты, новая, современная архитектура и ответственное отношение к разработке новых фичей с учётом безопасности.

Короче, очень интересное исследование и очень интересно как дальше будут развиваться дела. Кстати, на Black Hat в августе будет доклад авторов этого хака — надо обязательно послушать!

UPDATE: Наш подход к защите «умных» автомобилей.

PS: считайте меня ретроградом (хотя на самом деле я параноик :), но, какой бы крутой ни была «умная» начинка машины я бы первым делом её отключал… если бы была такая фича. Прямо кнопкой на панели – «ноу сайбер».

PPS: Хотя скоро, такими темпами, автомобили без подключения к «облаку» заводиться откажутся.

PPPS: А облако (и все подключенные к нему машины) быстренько взломают через какую-нибудь крайне важную функцию, типа распознавания лица владельца для автоматической подстройки зеркал и кресла.

PPPPS: а потом будут продавать авто бесплатно, но с привязкой к определённой сети заправок цифровой сети – и пихать попапы прямо на лобовое стекло. А на время рекламы перехватывать управление в автоматический гугл-режим.

PPPPPS: Кто еще чего добавит креативного по автобезопасности и вообще?

 

Шпионская история

«Прибежали в избу дети,
Второпях зовут отца,
«Тятя, тятя, наши сети…»

Итак, наши сети вытащили… нет, не мертвеца, а вполне себе живчика. И не просто «живчика», а мегапродвинутого зловреда. Сложнейшую шпионскую атаку, по уровню превосходящую всё, ранее нам известное. Этакий кибермонстр, помесь ксеноморфа с терминатором, да заодно и с «хищником» — поскольку тварь эта не только агрессивная, всепроникающая, неубиваемая – но заодно еще и практически абсолютно невидимая.

Итак, мы поймали киберзмейгорыныча международного масштаба, причём не где-нибудь, а в довольно неожиданном месте – в нашей собственной корпоративной сети. Вот такой сюрприз!

(с)(с)

Ну, естественно, началось расследование и шло круглые сутки несколько месяцев подряд (быстрее невозможно – уж слишком сложный и профессиональный «живчик» оказался). Но есть и хорошая новость: с нашими продуктами, сервисами, базами данных, клиентскими данными все в порядке, никаких рисков для клиентов нет. Негодяи смогли подсмотреть только за нашими разработками и текущими расследованиями. И я до сих пор не понимаю, зачем им это было надо.

Читать дальше…

Я на конференцию, у неё и переночую!

Давным-давно (аж 10+ лет назад) наша, тогда ещё небольшая российская компания, начала активно принимать транснациональный формат. Оказалось, что ключевые сотрудники живут в разных странах, в разных временных зонах и общаются исключительно по почте или скайпам-телефонам. Вот тогда мы и решили периодически собирать их вместе, поскольку нечастые, но регулярные встречи «лицом-к-лицу» гораздо правильнее и эффективнее. Именно тогда и зародилась наша конференция для экспертов по IT-безопасности Security Analyst Summit (SAS).

cancun-mexico-sas2015-1

cancun-mexico-sas2015-2

Дальше: Никогда такого не было, и вот снова…