Архив тегов: cyber warfare

Ай-да новости: маркетинг vs. кибергопники + перезагрузка Лайнера Мечты.

Снова в эфире уже традиционная рубрика про хрупкость нашего всемирного цифрового дома. Интересных новостей про киберзловредство накопилось много! Да что там, поток таких новостей постепенно переходит из режима горного ручейка в масштаб полноценной Ниагары.

Как ветеран киберобороны скажу, что раньше катаклизмы планетарного масштаба обсуждались по полгода. А сейчас поток сообщений как лососи на нересте — толком и поговорить не о чем. «Слышал, хакнули Мегасуперкорпорацию, украли всё, и даже хомячка гендиректора самоуправляемый дрон унёс в неизвестном направлении?» — «Вчера ещё! А вот ты слышал…?»

Обычно в этой рубрике было в среднем по три новости зараз. Но приходится подстраиваться под обстоятельства, и сегодня будет горячая семёрка по-своему важных и интересных историй из мира цифровой опасности.

«Зарази братуху — получи скидку»

Киберпреступники давно ведут свою криминальную деятельность как бизнес. До нас доходили истории про «партнёрские конференции», когда одни преступные группы собирали другие, чтобы обсуждать сотрудничество и стратегию. Не чужды, в общем, негодяи учебников по менеджменту и маркетингу. А о чём надо думать, строя бизнес? О продуктах и услугах, разработке, организационной структуре, каналах — да много о чём!

Вот некие вымогатели почесали голову и предложили сделать своих жертв прямыми соучастниками в деле распространения малвары. Злобный сетевой маркетинг в худшем виде: зарази двух знакомых и получи ключ от своих файлов бесплатно.

Наступив в какую-нибудь гадость, ты получаешь предложение: плати или подгадь двум людям из списка контактов — пусть они платят (или дальше распространяют). И каждый будет потом чесать голову, то ли сам кликнул не на ту ссылку или забрёл в глубокие и заразные дебри без адекватной защиты, то ли какой-то друг сволочь виновата. Хорошо, что о реальных заражениях ничего неизвестно — это пока полуфабрикат, найденный исследователями в мутных тёмных глубинах даркнета.

Дальше: хэдхантинг по-хакерски…

Ай-да новости: о спасении мира от шифрователей и о лучших в мире исследователях.

Привет, друзья, снова в эфире рубрика «Кошмарный сон сисадмина становится явью». Обычно у нас в ней звучит композиция в стиле «всё плохо и становится хуже». Там что-то взломали, здесь что-то обрушили. Видеокамеры устроили ДДоС, например, бетономешалкам. Повсюду черви, троянцы, вирусы, их всё больше, и они всё наглее и скрытнее. Так выглядит мир глазами специалиста по IT-безопасности.

Но на этот раз, удивительное дело, почти все новости хорошие. И в нашей параноидальной отрасли такое случается! И, что приятно, появляются хорошие новости не без нашей помощи.

Ударным трудом по вымогателям и шифрователям!

В понедельник мы запустили новый проект для помощи жертвам шифрователей-вымогателей. Называется он ‘No More Ransom’ и содержит новый бесплатный расшифровщик для вымогателя Shade. Кроме этого там лежат расшифровщики для некоторых других негодяйских программ включая CoinVault и TeslaCrypt. Проект этот совместный с голландской полицией, Европолом, а также с уважаемыми конкурентами из Интел Секьюрити, также известными человечеству как Макафи.

inews1

Что тут сказать? Эпидемия шифровальщиков захлестнула человечество. Больницы, коммунальные предприятия, полицейские участки, многие тысячи и тысячи бизнесов и без счёта обычных граждан пострадали от этой подлой дряни. Легко рекомендовать не платить вымогателям, но что делать, если вдруг бизнес без своих данных как будто на полном ходу въехал в стену? Если вы обычный пользователь и вдруг потеряли все семейные фотографии? Многие, к сожалению, вынуждены платить. Наша цель – чтобы этого делать не надо было в принципе. И в этот проект будут добавляться всё новые дешифраторы.

Дальше: кибер-олимпиада и вредные кибер-советы…

Ай-да новости: о червях в реакторе и хакерах-троечниках.

Иногда от текущего новостного фона рука тянется проверить фон радиационный. Тревожные какие-то сообщения попадаются последнее время. Или это я эмоционально реагирую? Вот, например:

История первая, ядрёная.

inews-1Баварская, а точнее швабская АЭС, фото с просторов Википедии

Немецкая Гундреммингенская АЭС в солнечной Баварии, а точнее даже в Швабии, аккурат в 30-ю годовщину аварии в Чернобыле докладывает, что одна из её внутренних IT-систем, обслуживающих реактор Б, была заражена гадкими зловредами. Также сообщают, что волноваться не стоит, опасности никакой, все нормально, спите спокойно, дорогие граждане, всё под контролем, уровень опасности самый низкий, практически отрицательный.

Ну, хорошо, думаешь, и читаешь дальше.

По мере чтения новостей, однако, в сообщениях об этом инциденте появляются некоторые дополнительные подробности. Вроде бы всё хорошо, и фон радиационный не изменился. Но как-то неуютно. Поточил добрый дедушка бритву и убрал в коробочку. А мог бы и полоснуть.

Например, заражение произошло в изолированной от интернета системе, которая управляет движением топливных (ядерных) стержней. Тут останавливаешься, трёшь глаза, перечитываешь…

Дальше: ЕМНИХВОХЧЛЫЫВЛО!!!!!!!??…

Большая картина.

Весной прошлого года мы обнаружили Duqu2 – очень профессиональную и дорогостоящую кибершпионскую операцию с господдержкой какой-то дружественной страны. И вычислили мы её тогда при тестировании бета-версии Kaspersky Anti Targeted Attack Platform – специального решения против подобных целевых атак.

И вот, ура! — продукт официально зарелизен и готов к употреблению!

Kaspersky Anti Targeted Attack Platform

Но вначале немного лирики о том, как мы дошли до жизни такой и почему потребовалась такая специфическая защита.

Дальше: Раньше не только солнце было ярче и небо синéе…

Таблетка для завода.

Ура! Мы выпустили KICS (Kaspersky Industrial CyberSecurity) – специальную «таблетку» от кибер-неприятностей для заводов, электростанций, больниц, аэропортов, отелей, складов, вашей любимой пекарни и тысяч других видов предприятий, использующих компьютерные системы управления. А поскольку редкое современное предприятие обходится без таких систем, то, да, мы выпустили решение для миллионов больших, средних и малых производственных и сервисных бизнесов по всему миру!

Что такое KICS? Зачем это нужно? И для чего конкретно?

До начала 2000-х возможность кибер-атак на промышленные объекты была источником вдохновения для научных фантастов. А 14 августа 2003г. на востоке США и Канады неожиданно случилось вот такое:

kics-launch-1

Из-за неких неполадок в электросети 50 миллионов человек остались без электричества на срок от нескольких часов до нескольких дней. Обсуждалось много причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и … версия побочного эффекта от атаки компьютерного червя Slammer (Blaster).

Насколько я понимаю, там было совмещение всех этих факторов. Т.е. случилась нештатная ситуация (ёлки-белки) и одновременно червяк порушил систему оповещения. ЧП местного масштаба, которое не смогло быть отработано на центральном уровне, из-за чего ситуация веерно накрыла весь регион.

Дальше: защищать надо, но как? А вот как:

Ай-да новости: об атомных станциях и кибервоенщине.

В этот раз выпуск по следам наших давних публикаций.

Первое.

КДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью КДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью

Мы уже много лет на всех углах звоним в колокола о проблемах кибербезопасности промышленности и инфраструктуры. И эта проблема всё чаще оказывается в центре внимания госорганов, исследовательских институтов, СМИ и широкой публики. Но, к большому сожалению, пока мы не наблюдаем заметных положительных подвижек в этой сфере.

На этой неделе вышел отчет британского исследовательского центра Chatham House, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная.

От  выводов исследования волосы понимающего человека начинают отчетливо шевелиться:

  1. Никакой «физической изоляции» компьютерных сетей атомных станций не существует, это миф (тут замечу, что речь идет только о тех станциях, с которыми знакомы опрошенные международные эксперты; в любом случае, никакой конкретики). Британцы пишут, что на АЭС часто существуют соединения через VPN, часто их делают подрядчики, часто они в принципе не документированы, иногда просто забыты, но вполне себе живы и готовы к использованию.
  2. Большое количество такого рода подключенных систем без проблем находятся в интернете через поисковики вроде Shodan.
  3. Если изоляция существует, то она преодолевается с помощью флэшек (привет, Stuxnet!)
  4. Атомная энергетическая отрасль по всему миру мало участвует в обмене информации о кибер-инцидентах, и в результате, мало учится у более продвинутых в этой сфере отраслей.
  5. При этом повсеместно по экономическим соображениям увеличивается использование массового коммерческого (уязвимого) софта.
  6. Множество промышленных систем управления изначально небезопасно спроектированы, и патчить их, без ущерба для производственных процессов, очень трудно
  7. И много-много чего ещё, в полном отчете 53 страницы.

Эти леденящие кровь факты и подробности, конечно, вряд ли новость для специалиста по IT-безопасности. Но, будем надеяться, от таких публикаций что-то начнёт меняться. Самое главное, чтобы все заинтересованные участники стали активно латать дыры и чинить IT-безопасность до наступления больших неприятностей, а не после них, как, к сожалению, обычно в мире и бывает.

Отчёт рекомендует, среди прочего, продвигать проектирование изначально безопасных промышленных систем (“Security by design”). Это мы поддерживаем всеми руками! Наша безопасная ОСинициатива как раз из этой серии. Сделать системы управления промышленным оборудованием, включая АСУТП, невзламываемыми означает принципиально улучшить ситуацию с кибербезопасностью мира вокруг нас. К сожалению, дорога это длинная и мы лишь в самом начале пути. Зато, уверен, движемся мы в правильном направлении.

Второе.

Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.

Фото Michael Reynolds/EPA отсюдаФото Michael Reynolds/EPA отсюда

Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны – две крупнейшие экономики мира — не будут заниматься коммерческим шпионажем друг у друга. Более того, тема кибербезопасности доминировала на их совместной пресс-конференцией наряду с мерами по борьбе с изменением климата. При этом интересно, что проблему политического и военного кибершпионажа они обошли стороной.

Прорыв ли это? Конечно же, пока нет.

Однако это шажок в очень правильном направлении. Ходили слухи, Пекин с Вашингтоном ведут переговоры о «договоре о ненападении» в киберсфере. Предполагалось, что в нём две страны должны взять на себя обязательства в мирное время не нападать с помощью кибероружия друг на друга. На сентябрьской встрече лидеров стран эта тема не поднималась, но, будем надеяться, ещё поднимется. Это был бы хоть и символический, но важный шаг.

Хорошо бы такие договоры подписали в будущем все страны, а потом бы и вовсе договорились бы сделать Интернет и всю киберсферу демилитаризованной зоной. Это был бы самый хороший, хотя, увы, пока что и не очень реалистичный сценарий.

Берегись автомобиля!

Периодически (примерно раз в несколько лет) в кибермире случается очередная нехорошая неприятность. Что-то совершенно неожиданно ново-зловредное. Для большинства из нас (вас) – это очередной нежелательный сюрприз. Мы с коллегами обычно между собой комментируем это так: «ну вот, дождались…». Мы видим и понимаем основные тенденции «дарк-интернета», представляем стоящие за ними силы и их мотивацию, можем прогнозировать векторы развития ситуации.

Короче, зловредные сюрпризы для меня и наших экспертов — в большинстве своём давно ожидаемые события, которые вот, наконец-то произошли. И тут настаёт тот неловкий момент, когда приходится выступать с речью на тему «Добро пожаловать в новую эпоху». Типа, «мы же вас давно предупреждали»…

Что на этот раз? Автомобильное!

Вчера в WIRED была опубликована статья, начинающаяся словами: «Я вёл машину на скорости 70 м/ч, когда эксплойт овладел системой управления» (70 м/ч ~= 110 км/ч). В сей статье описан успешный эксперимент по удалённому взлому «чересчур умной» машины: секюрити рисёрчеры разобрали электронную систему Uconnect Jeep Cherokee, нашли уязвимость и через Интернет сумели получить контроль над критическими функциями автомобиля. И это не единичный «лабораторный» кейс, а дыра в почти полумиллионе машин с Uconnect. Опппааа…

can2

На самом деле, проблема безопасности «умных» машин не нова. На эту тему я шутил 1-го апреля 2002-го года. Дошутился :) Дурацкая шутка получилась :(

Да, всё логично и понятно. Производители борются за покупателя, а редкий покупатель сейчас ходит без смартфона с интернетами, так что машина (чем дороже, тем быстрее) потихоньку превращается в его придаток. Смартфона и интернета, а не пользователя – если вдруг кто-то неправильно понял ход моей мысли.

В смартфон выносят всё больше функций управления и диагностики автомобиля. Uconnect здесь не одинок – практически у каждого крупного производителям есть свой аналог разной степени продвинутости: Volvo On Call, BMW Connected Drive, Audi MMI, Mercedes-Benz COMAND, GM Onstar, Hyundai Blue Link и многие другие.

На практике оказывается, что в этой гонке вооружений, частенько игнорируются вопросы IT-безопасности.

Почему?

Во-первых, нужно быстрее-быстрее возглавить модное направление («а потом разберёмся»); во-вторых, удалённое управление – это перспективный бизнес (а план продаж горит!); в-третьих, среди автопроизводителей распространено мнение об автономности технологий – вроде как в электронную начинку машины ни у кого ни желания, ни мозгов не хватит залезть. Ну, конечно же, и то и другое регулярно случается.

С лирикой занончили. Теперь про физику явления. А с физической технической точки зрения происходит вот что.

В далёком-лохматом 1986г. компания Bosch разработала стандарт CAN, который регулирует обмен данными между различными устройствами (микроконтроллерами) напрямую, без центрального компьютера. Микроконтроллер центральной панели при нажатии на кнопку «Кондиционер» сообщает микроконтроллеру, ага, кондиционера, что водителя нужно охладить. Нажали на педаль тормоза – снова микроконтроллеры обменялись сигналами и тормозные колодки трутся об металл.

can

Иными словами, если верить достоверным источникам информации, электронная система современного автомобиля – это одноранговая компьютерная сеть, спроектированная ~30 лет назад. Несмотря на то, что с тех пор CAN пережил множество редакций и прокачек, он до сих пор не имеет никаких секюрити функций. Это понятно – какой дополнительной безопасности требовать, например, от COM-порта? CAN – это низкоуровневый протокол, «транспорт» и в его описании прямо сказано, что безопасность должны обеспечивать использующие его девайсы (приложения).

То ли мануалов не читают, то ли слишком увлеклись конкурентной борьбой, но факт налицо: [некоторые] автопроизводители навешивают на CAN всё больше контроллеров, не заботясь об основных правилах безопасности. На одну и ту же шину, не подразумевающую контроля доступа, вешают целиком внутреннюю систему управления всем-всем.

В действительности, как и в «большой» компьютерной сети в автомобилях необходимо разделение доверия к контроллерам. Штуки, которые общаются с внешним миром, будь то установка приложений в медиасистему из онлайн-магазина или слив диагностики производителю должны быть жёстко разделены с системой управления двигателем, безопасности и другими критическими блоками!

Если автомобилем управляет, скажем, Android-приложение, то любой специалист по безопасности с ходу перечислит десяток вариантов, как обойти защиту и перехватить управление. В данном случае автомобиль не сильно отличается от банковского счёта и к нему могут быть применимы схожие технологии взлома, например, с помощью банковских троянцев. Ну, и, конечно, остаётся вероятность взлома через уязвимость, как в случае с Jeep Cherokee выше.

Что вселяет оптимизм?

О проблеме знают и относятся к ней серьёзно. Сразу после публикации статьи в WIRED, в США немедленно организовались законодательные инициативы по стандартизации автомобильных технологий в области кибер-безопасности. Производители тоже по мере сил стремятся решить проблему: недавно американский Auto Alliance анонсировал создание «Центра обмена и анализа данных» (правда, не представляю, как они собираются работать без представителей секюрити-индустрии). Мы сами работаем с несколькими брендами (не скажу какими) — консультируем как сделать лучше.

В общем, есть свет в конце тоннеля. Однако…

… однако, описанная проблема безопасности не ограничивается автомобилестроением. CAN и ему подобные стандарты используются в промышленности, энергетике, транспорте, умных домах, даже в лифте в вашем офисном здании — везде, ВЕЗДЕ!! И везде одна и та же проблема: наращивание функциональности идёт без учёта безопасности! Главное побыстрее, покруче накрутить, привязать к смартфону, подключить к Интернету! А потом оказывается, что и самолётом можно управлять через его развлекательную систему.

com

Что делать?

Выход номер один – пересесть на старые, до-Интернет технологии типа винтовых самолётов с аналогово-механическими системами управления… Шутка, конечное же. Никто «вперёд в прошлое» не собирается, да уже и не сможет. Технологии прошлого тормозные, неудобные, низкоэффективные, да и… менее безопасные! Так что назад пути нет. Только вперёд!

Движение вперёд в эпоху полимеров, биотехнологий и цифр даёт просто сумасшедшие результаты – просто посмотрите вокруг себя и внутрь своих карманов. Всё движется, летает, доставляется, сообщается и обменивается на принципиально других скоростях по сравнению с предыдущими эпохами. Автомобили (да и другие транспортные средства) только часть этого.

Всё это действительно делает жизнь более комфортной и удобной, к тому же «цифра» закрывает многие старые проблемы надёжности и безопасности. Но, увы, одновременно создаёт и новые проблемы. И если вот так сломя голову рваться вперёд-вперёд, без оглядки, тяп-ляп «гнать функционал», то в конце концов мы придём к непредсказуемым и даже фатальным последствиям. Примерно как Цеппелины.

А ведь можно (и нужно!) сразу сделать красиво! Нужны отраслевые стандарты, новая, современная архитектура и ответственное отношение к разработке новых фичей с учётом безопасности.

Короче, очень интересное исследование и очень интересно как дальше будут развиваться дела. Кстати, на Black Hat в августе будет доклад авторов этого хака — надо обязательно послушать!

UPDATE: Наш подход к защите «умных» автомобилей.

PS: считайте меня ретроградом (хотя на самом деле я параноик :), но, какой бы крутой ни была «умная» начинка машины я бы первым делом её отключал… если бы была такая фича. Прямо кнопкой на панели – «ноу сайбер».

PPS: Хотя скоро, такими темпами, автомобили без подключения к «облаку» заводиться откажутся.

PPPS: А облако (и все подключенные к нему машины) быстренько взломают через какую-нибудь крайне важную функцию, типа распознавания лица владельца для автоматической подстройки зеркал и кресла.

PPPPS: а потом будут продавать авто бесплатно, но с привязкой к определённой сети заправок цифровой сети – и пихать попапы прямо на лобовое стекло. А на время рекламы перехватывать управление в автоматический гугл-режим.

PPPPPS: Кто еще чего добавит креативного по автобезопасности и вообще?

 

Ай-да-новости 25.06.2015

Упал, отжался, полетел дальше.

Начну с неприятной, а ещё более туманной, а потому тем более неприятной новости из области безопасности критической инфраструктуры. В воскресенье национальный польский авиаперевозчик LOT сообщил, что из-за некоей «IT атаки» в варшавском аэропорту были отменены и задержаны десятки рейсов, почти полторы тысячи пассажиров были «замаринованы» на земле. Пожалуй, это всё, что известно наверняка — дальше пошла аналитика, умозаключения, прогнозы и прочие домыслы.

Я не буду вдаваться в подробности инцидента за гранью официально опубликованных данных — вместо этого рекомендую ознакомиться с этой статьёй, которая, как мне кажется, наиболее понятно и аргументированно описывающей причины.

Официальные же данные однозначно указывают на то, что в IT системе LOT (а это, скорее всего, стандартная система, используемая и в других авиакомпаниях и аэропортах) есть неприятная дыра, которая не просто стала известна неким кибер-негодяям, но и была успешно протестирована. Как часто летающий пассажир я очень надеюсь сей инцидент будет серьёзнейшим образом расследован, а дыра закрыта. И вот эта дыра тоже.

И вообще что-то в последнее время участились неприятности в авиатранспорте по софтовой части. Вот в мае во время испытаний недалеко от Севильи упал военный грузовик A400 из-за неправильной конфигурации системы управления двигателями. Вот все сейчас поехали в Питер на Сапсане, а я сижу в Ш2 пролётом из Мюнхена и недоумеваю…

Дальше: о наболевшем и о будущем…

Я на конференцию, у неё и переночую!

Давным-давно (аж 10+ лет назад) наша, тогда ещё небольшая российская компания, начала активно принимать транснациональный формат. Оказалось, что ключевые сотрудники живут в разных странах, в разных временных зонах и общаются исключительно по почте или скайпам-телефонам. Вот тогда мы и решили периодически собирать их вместе, поскольку нечастые, но регулярные встречи «лицом-к-лицу» гораздо правильнее и эффективнее. Именно тогда и зародилась наша конференция для экспертов по IT-безопасности Security Analyst Summit (SAS).

cancun-mexico-sas2015-1

cancun-mexico-sas2015-2

Дальше: Никогда такого не было, и вот снова…

Макость.2014 — эволюция яблочных паразитов.

Есть ли вирусы на Маке?

Да! Есть! Но что-то подозрительно давно ничего интересного на эту тему я здесь не рассказывал.

Прошло 2,5 года с момента глобальной эпидемии червя Flashback, заразившего 700 тыс. Маков по всему миру. Мы тогда немного пошумели по этому поводу для «поднятия тонуса» среди маководов – и потом тишина…

Для человека со стороны может показаться, что с тех пор на этом фронте было полнейшее затишье и ни один вредонос не потревожил спокойствие водной глади в яблочной бухте. Но это не совсем так.

Apple vs вирусы

Да, если сравнивать уровень зловредства на разных платформах, то в «лидерах», как обычно, — самая распространённая платформа Microsoft Windows. Со значительным отрывом за ней следует Android. За прошедшие пару-тройку лет компьютерные негодяи всерьёз взялись за зелёного робота и потрошат Android-устройства с экспоненциально нарастающей активностью. В мире Айфонов и Айпадов пока практически абсолютный ноль, за исключением редких шпионских атак, умудряющихся заражать сверхбезопасные гаджеты разными экзотическими способами. В среде Маков тоже пока тишь да благодать… но уже не столь безмятежная. И про это будет рассказ.

Краткое содержание:

  • количество новых мак-зловредов за год исчисляется уже сотнями;
  • за 8 месяцев 2014г. обнаружено 25 семейств мак-зловредов;
  • вероятность подхватить мак-неприятность составляет приблизительно 3%.
Есть ли вирусы на Маках? В 2013 было обнаружено ~1700 вредоносных файлов для Mac OS XTweet

Дальше: Надкусим глубже?…