Содержание. __ от редакции. Биография сетевого периметра в картинках

03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 1
// от редакции
От редакции. Опасная безопасность и другие тренды 2016 года .........................................................................................2
Tоп-15 утечек за 2015 год ....................................................................................................................................................................................3
Уязвимости корпоративных информационных систем — 2015: внутри хуже, чем снаружи.............................6
Биография сетевого периметра в картинках..................................................................................................................................... 10
Безопасность умного транспорта .............................................................................................................................................................. 16
Кибербезопасность на бескрайних морях .......................................................................................................................................... 19
Уязвимости веб-приложений в 2015 году ............................................................................................................................................ 23
Чем защищают сайты, или Зачем нужен WAF? ................................................................................................................................... 27
Статистика уязвимостей приложений финансовой отрасли в 2015 году ..................................................................... 31
Разработка защищенных банковских приложений: главные проблемы и как их избежать ............................ 35
Кто потерял ключи: по следам SSH ............................................................................................................................................................ 38
Обнаружение DGA-доменов .......................................................................................................................................................................... 42
Атакуем SS7: анализ защищенности сотовых операторов в 2015 году ........................................................................... 44
Опасные уязвимости в популярных 3G- и 4G-модемах .............................................................................................................. 47
HackerSIM: разбор полетов ............................................................................................................................................................................. 52
Расшифровка обновлений популярного сотового модема .................................................................................................... 57
Эмуляция и перехват SIM-команд через SIM Toolkit на Android 5.1 и ниже (CVE-2015-3843) .......................... 60
Зонд для слежки за дронами: разоблачаем сенсацию ............................................................................................................... 64
Обзор уязвимостей антивирусных продуктов за I квартал 2016 года ............................................................................. 66
Взломать PayPal за 73 секунды ...................................................................................................................................................................... 68
Знакомимся с исходниками Windows 10 ............................................................................................................................................... 69
Статистика появления правил IDS/IPS Suricata для новых угроз ......................................................................................... 72
Оценка уязвимостей CVSS 3.0 ....................................................................................................................................................................... 74
Работа с паролями: как защитить свои учетные записи (мнения специалистов) .................................................... 80
Конкурс MiTM Mobile: как ломали мобильную связь на PHDays V ..................................................................................... 82
Кто взломал электроподстанцию: итоги конкурса Digital Substation Takeover ......................................................... 86
Как взламывали банк на PHDays V .............................................................................................................................................................. 87
Разбор конкурса Best Reverser на PHDays V ........................................................................................................................................ 88
Конкурс WAF Bypass на PHDays V ................................................................................................................................................................ 91
Разбор заданий конкурса «Конкурентная разведка» на PHDays V ..................................................................................... 93
Хакерская елка, или Как организовать детский день в недетской компании .........................................................100
Об авторах сборника .........................................................................................................................................................................................102
Содержание

positive research 2016 2
02
04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102
Читая новости кибербезопасности, вы наверняка задумывались: откуда берутся цифры ущерба от хакерских атак или уверенные оценки надежности средств защиты? Честно говоря, мы тоже часто сомневаемся. В этом и суть безопасности — в постоянном стол- кновении с неизвестным. Тем не менее каждый год специалисты
Positive Technologies выполняют сотни исследований, анализируя защищенность сетей, устройств и приложений наших клиентов так, как делали бы настоящие хакеры. Мониторинг безопасности и рас- следование инцидентов тоже приносят немало открытий. Самые ин- тересные результаты — в очередном выпуске ежегодного сборника
Positive Research. Давайте посмотрим, как его содержание отражает
ИБ-тенденции года.
1. Мода на APT.
Целевые кибератаки проводятся уже давно, но в этом году о них заговорили особенно активно. Между тем, по оцен- кам наших экспертов, большинство кибератак года не были техниче- ски изощренными: использование ранее не известных уязвимостей
(0-days) отмечено менее чем в 20% случаев. Злоумышленники чаще всего идут в атаку с минимальными затратами, используя известные уязвимости (см.
стр. 6
и
10
).
Другое дело, что целевые атаки становятся более многоступенча- тыми. Например, для атаки на организацию сначала взламывают ее партнеров или используют результаты массовой атаки для развития целевой. Здесь стоит отметить огромное количество утечек персо- нальных данных (
стр. 3
) — только представьте, как можно все эти данные использовать!
2. Больше Веба.
Если раньше атаки на крупные компании шли, как правило, через рабочие станции (атаки на браузеры или рассылка вирусов), то в прошедшем году 30% атак совершалось на корпора- тивные ресурсы, включая веб-сервисы. Причина понятна: зачастую
Веб дает прямой доступ к корпоративной инфраструктуре и конфи- денциальным данным. При этом за последние три года доля веб-при- ложений, где обнаруживаются критически опасные уязвимости, вы- росла до 70% (
стр. 23
).
Показательна ситуация с финансовыми онлайн-услугами. Число мошенничеств с электронными платежами растет, а защищенность банковских приложений остается на низком уровне: критически опасные уязвимости встречаются в 90% систем ДБО, в основном это недостатки авторизации (
стр. 31
). Банки не всегда представляют себе, насколько они «видны снаружи»: наши эксперты обнаружили на периметре одного из российских банков около 80 банкоматов, к ко- торым можно подключиться через интернет.
3. Всё через мобилу.
Телеком-операторы предлагают все но- вые и новые услуги, а современные гаджеты активно используют мобильный доступ. Интеграция новых технологий со старыми создает серьезные проблемы безопасности. В частности, многие атаки на абонентов мобильной связи можно проводить, используя древние протоколы SS7 (
стр. 44
). Впрочем, с прошлого года теле- комы активно занялись аудитом безопасности, что можно только приветствовать.
В то же время значительное количество уязвимостей, позволяющих следить за абонентами или похищать их деньги, обнаруживается в модемах (
стр. 47, 57
) и в мобильных приложениях (
стр. 60
). В про- шлом выпуске Positive Research мы прогнозировали появление на рынке супертелефонов с повышенной защитой. Увы, новинки пока не впечатляют (см.
стр. 52
).
4. Вагонные споры.
Анализируя безопасность умных автомо- билей (
стр. 16
), морских перевозок (
стр. 19
) и различных систем от редакции
ОПАСНАя БЕЗОПАСНОСТь
И ДРУгИЕ ТРЕНДы 2016 гОДА
управления, можно заметить, что промышленная безопасность еще не подружилась с информационной. При защите АСУ ТП используют- ся устаревшие модели угроз, которые не учитывают возросшее вли- яние компьютерных компонентов. Многие «цифровые» уязвимости
АСУ ТП, обнаруженные нашими экспертами, могут стать причиной катастроф — хотя исследованные системы зачастую соответствуют всем стандартам промышленной безопасности. С другой стороны, классические подходы ИБ не всегда стыкуются с промышленной практикой: здесь и специфические протоколы, и снег с дождем...
Однако наш опыт работы с «РЖД» позволяет надеяться, что сотрудни- чество разработчиков систем управления и разработчиков средств защиты приведет к рождению новой дисциплины — кибербезопас- ности АСУ ТП (см.
стр. 18
).
5. Цельнометаллический троян.
Кажется, все уже привыкли к новостям о бэкдорах в софте (
стр. 69
). Но не за горами тот день, ког- да мы узнаем о бэкдорах, установленных на аппаратном уровне (и не в экзотических случаях противостояния спецслужб), — о массово
«впаянных» в повседневные устройства: это и недокументированные инструкции в микропроцессорах, и прочая зловредная аппаратная логика. Возможно, появятся даже «целиком плохие» гаджеты, выпол- няющие и полезные функции, но разработанные специально для достижения целей злоумышленников. К этому очень располагает выпуск на рынок большого количества дешевых устройств, безопас- ностью которых никто не заморачивается (домашние роутеры, USB- модемы, веб-камеры).
6. Средства защиты как угроза.
Множество исследований этого года посвящены уязвимостям антивирусов и других средств защиты. Системы безопасности сами становятся угрозой — осо- бенно если учесть, что многие из них обладают повышенными привилегиями доступа (антивирусы, сканеры, SIEM) или контро- лируют ключевые информационные потоки (IDS/IPS, WAF). Уже известны случаи взлома публично доступных сервисов для ди- намического анализа файлов («песочниц»). Эксперты, конечно, могут рассказать, как улучшить антивирусы и межсетевые экраны
(см.
стр. 27
и
66
). Но общая тенденция вызывает опасения: ника- кая поставленная на раз защита больше не работает. Современная безопасность — это совокупность процессов: мониторинг собы- тий, выявление атак, расследование инцидентов, обмен инфор- мацией об угрозах. В этом направлении можно прогнозировать развитие центров безопасности (SOC), а также облачных решений по обработке ИБ-данных. Есть и первый опыт системного подхода на государственном уровне: создание государственной системы обнаружения, предупреждения и ликвидации последствий ком- пьютерных атак (госСОПКА). Это может дать толчок к развитию от- ечественного ИБ-рынка, который как-то приуныл, столкнувшись с вопросом импортозамещения.
7. Детки в сетке.
В России об этой проблеме пока не слышно. А вот на Западе целый ряд исследователей отмечают, что смартфона- ми и планшетами с интернетом стали массово пользоваться дети уже с трех-четырех лет. Однако представлений о кибербезопасно- сти у них нет: ни в садиках, ни в школах этому не учат. В итоге именно через детей зачастую утекают к злоумышленникам персональные данные и финансы родителей. В этом году мы предлагаем вам не только разбор хакерских конкурсов PHDays, которые используются как учебные пособия в вузах (см.
стр. 82
и далее), но и репортаж о наших мероприятиях для тех, кому от 5 до 15 (
стр. 100
). Мы начали эти «хакерские елки» для детей сотрудников компании — но теперь видим, что подобные уроки безопасности стоило бы посещать всем школьникам.

3
// от редакции
03
05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103
Tоп-15 утечек
ЗА 2015 гОД
Александр Антипов,
главный редактор
SecurityLab.ru
В прошлом году в мире информационной безопасности произошло огромное количество мас- штабных инцидентов. Значительное место среди них занимают взломы с последующими утеч- ками персональных и конфиденциальных данных. Самые заметные случаи, собранные в этом обзоре, показывают: нет такой индустрии или сферы деятельности, которая защищена от утечек.
Группа Страховых компаний AnThem
Злоумышленники первый раз взломали ресурсы страховщиков еще в 2004 году, но об этом стало известно только в 2015-м. Это значит, что в течение 11 лет хакеры имели прямой доступ к персональным данным 80 миллионов клиентов Anthem — к именам, адресам, телефонам, номерам социального страхования, истории трудоустройства.
хакерСкая компания hAcking TeAm
Итальянская компания, предлагающая услуги взлома и кибершпионажа, сама оказалась жерт- вой крупной утечки. Хакеры-конкуренты выложили в интернет огромный архив, содержащий конфиденциальные документы о сотрудничестве Hacking Team со спецслужбами всего мира.
Подробный анализ архива позволил обнаружить эксплойты ко многим уязвимостям нулевого дня.
Сайт для СупружеСкой измены Ashley mAdison
В июле 2015 года хакерская группировка The Impact Team выложила учетные данные 11 млн пользователей сайта Ashley Madison, среди которых оказались известные политики и бизнес- мены. Данные, выложенные в открытый доступ, стали использоваться злоумышленниками для вымогательства и других атак. Обиженные канадские пользователи даже попытались отсудить у владельцев Ashley Madison 575 млн долл. компенсации. Некоторые западные СМИ заявляли, что скандальная утечка данных привела к двум самоубийствам.
VTech и hello kiTTy
Атаки на обе компании объединяет одно существенное событие: хакеры получили доступ к данным детей. Возможно, получение информации о детях не было главной целью атакующих, однако прецедент создан. В ходе атаки «пострадали» данные 14,8 млн клиентов.
Сайт знакомСтв AdulT FriendFinder
Вслед за взломом Ashley Madison хакеры атаковали аналогичный сервис «взрослых» знакомств
Adult FriendFinder. Данные почти 4 млн пользователей были выложены в открытый доступ.
01
02
03
05
04

positive research 2016 4
02
04
06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102
Juniper screenos
Очень громкий инцидент, произошедший в декабре. Компания обнаружила бэкдор в ScreenOS, который присутствовал в системе по меньшей мере с 2012 года. Учитывая сектор применения устройств компании, можно предположить, что спецслужбы, внедрившие бэкдор, использо- вали его для хищения корпоративных и государственных секретов самых крупных компаний в мире.
«автоваз» и megAindex
В декабре стало известно об успешной атаке на компанию ALTWeb Group, и как следствие — взлом «АвтоВАЗа». Как заявлял хакер, в его распоряжении оказалось 14 тысяч пар «логин — па- роль», а валидность базы составила примерно 60%. Имея доступ ко всей базе клиентов ALTWeb
Group, хакер обнаружил еще 250 тысяч пар «логин — хеш пароля» компании MegaIndex, и уже за первые сутки расшифровал 90% из них.
менеджер паролей lAsTpAss
Один из самых популярных менеджеров паролей в июне сообщил об успешной атаке злоу- мышленников на свои облачные ресурсы. Злоумышленники сумели похитить зашифрованные мастер-пароли, подсказки к этим паролям и имейлы пользователей сервиса. телеком T-mobile
Взлом телекоммуникационной компании посредством атаки на подрядчика Experian позво- лил злоумышленникам заполучить доступ к личным данным 15 млн клиентов оператора связи.
Компания Experian также отличилась в 2014 году, позволив хакерам похитить и продать через вьетнамский сервис почти 200 млн записей, содержащих личные данные клиентов. личная почта директора цру
Джон Бреннан стал жертвой атаки трех подростков. Используя методы социальной инжене- рии, хакеры сумели заполучить доступ к переписке директора ЦРУ. Неправительственный интернет-аккаунт содержал письма с номерами социального страхования и персональными данными более десятка чиновников разведывательной службы, а также правительственный документ о применении жестких техник допроса к лицам, подозреваемых в терроризме.
06
07
08
09
10
База данных изБирателей СШа
В конце 2015 года личные данные 191 миллиона граждан США были выложены в интернет.
Опубликованная в свободном доступе база данных содержит имена, физические и электрон- ные адреса, даты рождения, номера телефонов, а также сведения о принадлежности к полити- ческим партиям избирателей из всех 50 штатов страны и округа Колумбия.
11

5
// от редакции
03
05
07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103
медицинСкая База premerA
В начале 2015 года здравоохранительная компания Premera рассказала об успешной атаке на ее ресурсы. Личные данные 11 млн клиентов были похищены хакерами. Данные содержали имена, адреса, телефоны, номера социального страхования, банковскую информацию и медицинские данные. В настоящее время Premera обвиняют в преступной халатности, нарушении условий заключенного с клиентами контракта, нарушении Закона о защите прав потребителей штата
Вашингтон (Washington Consumer Protection Act) и несвоевременном уведомлении клиентов о киберинциденте. Если суд удовлетворит иски потерпевших, компанию обяжут выплатить весь нанесенный им материальный и моральный ущерб.
профСоюз полиции FrATernAl order oF police
Неизвестные похитили базу крупнейшего объединения полицейских США — архив с конфи- денциальной информацией размером 2,5 гигабайта, включая домашние адреса полицейских.
Кроме архива, злоумышленники также получили доступ к закрытому форуму, где члены орга- низации обсуждали различные темы, от необходимости более жестких мер в отношении неле- гальных мигрантов до критики политики президента США.
веБ-камеры для приСмотра за детьми
Поисковая система Shodan открыла раздел, позволяющий посмотреть в миллионы веб-камер.
За короткое время работы ресурса в кадр уже попали плантации конопли, задние дворы бан- ков, детские спальни, кухни, гостиные, бассейны, школы и колледжи, лаборатории, магазины.
Уязвимость камер заключается в том, что они используют для передачи видео протокол RTSP
(Real Time Streaming Protocol) без надлежащей аутентификации. В итоге изображение с этих камер доступно любому, кто к ним подключится.
отпечатки пальцев чиновников
В начале лета стало известно о хакерской атаке на Управление кадровой службы США (US
Office of Personnel Management). Злоумышленники похитили личные данные 21 млн амери- канских госслужащих, а также отпечатки пальцев 5,6 млн человек. В отличие от украденного пароля, человек не может сменить свои отпечатки пальцев, поэтому их похищение открывает широкий простор для совершения преступлений против гражданина на протяжении всей его жизни. Как можно использовать чужие отпечатки? Исследователи из Chaos Computer Club еще осенью 2013 года продемонстрировали, как легко обойти систему биометрической идентифи- кации Touch ID на популярных устройствах компании Apple. Получив чужой отпечаток пальца, немецкие хакеры с помощью несложной техники изготовили искусственный палец и разблоки- ровали iPhone 5s, защищенный с помощью Touch ID.

  1   2   3   4   5   6   7   8   9   ...   22