Содержание. __ от редакции. Биография сетевого периметра в картинках
 Скачать 5.92 Mb.
|
|
22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 серии обысков и рейдов в Дании, Нидерландах и Бельгии. Были най- дены оружие, наличные и кокаин, пятнадцать человек были задер- жаны. Забавно, что подобный технологичный подход к контрабанде фигурировал в массовой культуре за несколько лет до событий в Антверпене: во втором сезоне телесериала «Прослушка» (The Wire) история развивается вокруг американского порта Балтимор (по сюжету одной из серий преступники подкупают рабочих доков для подмены записей о контейнерах, в которых перевозятся наркотики). Джим гирмански, бывший агент ФБР, ныне — председатель компании Powers International, предоставляющей услуги охраны и мониторин- га в сфере логистики, заявляет, что «антверпенское» дело его не уди- вило, потому что большинство транспортных компаний не имеют ни малейшего понятия о том, как защитить доставляемый контейнер [13]. По последним оценкам, по морю перевозится более 420 млн контей- неров ежегодно, и только 2% подвергаются проверкам с досмотром, так что о реальных объемах контрабанды, перевозимой даже в «ле- гальных» контейнерах, трудно даже строить догадки. Помимо нар- которговцев и контрабандистов, дырами в безопасности портовых и прочих логистических систем могут в перспективе воспользоваться и террористические и радикальные группировки, к примеру органи- зовать доставку взрывных устройств в нужный город и, возможно, за чужой счет. cTs, gps и СиСтемы Спутниковой Связи Морская индустрия активно пользуется спутниковыми техноло- гиями SATCOM (Satellite Communications) для доступа в интернет, связи судно—судно и судно—суша, GPS/DGPS для определения местоположения и навигации, а также отслеживания перевозимых грузов. На конференции Black Hat USA 2015 исследователем компании Synack Колби Муром был представлен отчет о безопасности систем GPS-трекинга Globalstar [14]. Помимо коммерческих грузоперевозок, предлагаемые компанией решения используются также в добыва- ющей промышленности, системах экологического мониторинга, автопромышленности, маломерных судах и многих других сферах. Проведенное исследование показало, что эксплуатация найденных уязвимостей приводит к перехвату и подмене информации или глу- шению сигнала. Как и в случае с AIS, раскрытие проблемы Globalstar стало возмож- ным в связи с развитием технологий SDR, их относительными про- стотой и дешевизной. В сети Simplex, основанной на радиопередаче, используемой компанией Globalstar для передачи данных между тре- керами, спутниками и наземными станциями, отсутствуют механиз- мы аутентификации и шифрования, обслуживающие работу систем, а механизм передачи данных, работающий только в одну сторону, не представляет возможности валидации переданных данных. Мур уверен, что данная проблема присутствует не только в Globalstar [15]. Спутниковые системы связи (SATCOM), в том числе связывающие че- рез интернет суда друг с другом и с «большой землей», также содер- жат большое количество уязвимостей, сообщается в отчете IOActive [16]. Проверка терминалов спутниковой связи, используемых в судо- ходстве и в других секторах (авиации, военном комплексе) и произ- водимых ведущими компаниями индустрии (Harris, Hughes, Cobham, JRC, Iridium), выявила такие критически опасные бреши в безопасно- сти, как использование устройствами незащищенных или даже не- документированных протоколов, заведенные «фабрично» учетные записи, возможность эксплуатирования функции сброса пароля, бэкдоры. Однако вся конфиденциальная информация, полученная в ходе проверок и исследований, включая технические аспекты и про- цедуры проведения проверок, а также информацию о возможностях эксплуатации уязвимостей, после передачи ее вендорам и регулиру- ющим комиссиям не была выложена в открытый доступ. Другой показательный случай компрометации спутниковых систем произошел в июле 2013 года. Студенты из Техасского университета в Остине смогли отклонить от курса яхту стоимостью в 80 млн долл., используя оборудование, цена которого не превышала 3 тыс. долл. С помощью имитатора GPS-сигналов (используются, к примеру, при калибровке оборудования), дублируя сигнал настоящего спутника и постепенно повышая мощность, им удалось «убедить» навигацион- ную систему судна принимать сообщения спуфингового устройства и отбрасывать сигнал настоящего спутника как помехи. После того как навигационная система начала ориентироваться по данным двух спутников и атакующего устройства, исследователям удалось откло- нить судно от первоначального курса [17]. В заключение можно сказать о плохой подготовленности столь важной для любой страны индустрии к временам, когда кибера- таки уже не являются чем-то новым, и их широко используют в своих интересах государства и различные активистские, преступ- ные и террористические группировки. Помимо уязвимостей ПО и других дыр в защите этих систем, также остро стоит и проблема невозможности мгновенного применения обновлений безопас- ности для систем на судах, находящихся в рейсе или отдаленных портах. Остается лишь надеяться, что вышеуказанные проблемы не превратят морские перевозки в бомбу замедленного действия и масштабные работы по исправлению проблем и «закаливанию» рассмотренных систем начнутся раньше, чем появятся серьезные прецеденты. СпиСок иСточников: 1. Analysis of cyber security aspects in the maritime sector, ENISA, 10.2011. 2. Maritime Cyber-Risks, CyberKeel, 15.10.2014. 3. Safety and Shipping Review 2015, H. Kidston, T. Chamberlain, C. Fields, G. Double, Allianz Global Corporate & Speciality, 2015. 4. All at sea: global shipping fleet exposed to hacking threat, J. Wagstaff, Reuters, 23.04.2014. 5. MARIS ECDIS900, MARIS brochure. 6. AIS Exposed: Understanding Vulnerabilities & Attacks 2.0 (video), Dr. M. Balduzzi, Black Hat Asia 2014. 7. Preparing for Cyber Battleships – Electronic Chart Display and Information System Security, Yevgen Dyryavyy, NCC Group, 03.03.2014. 8. Voyage Data Recorder of Prabhu Daya may have been tampered with, N. Anand, The Hindu, 11.03.2012. 9. Lost voice data recorder may cost India Italian marines case, A. Janardhanan, The Times of India, 13.3.2013. 10. Maritime Security: Hacking into a Voyage Data Recorder (VDR), R. Samanta, IOActive Labs, 09.01.2015. 11. The Critical Infrastructure Gap: U.S. Port Facilities and Cyber Vulnerabilities, Comdr (USCG) J. Kramek, Center for 21st Century Security and Intelligence at Brookings, 06.2013. 12. The Mob’s IT Department: How two technology consultants helped drug traffickers hack the Port of Antwerp, J. Robertson, M. Riley, Bloomberg Businessweek, 07.07.2015. 13. To Move Drugs, Traffickers Are Hacking Shipping Containers, A. Pasternack, Motherboard, 21.10.2013. 14. Spread Spectrum Satcom Hacking: Attacking the Globalstar Simplex Data Service, C. Moore, Black Hat USA 2015. 15. Hackers Could Heist Semis by Exploiting This Satellite Flaw, K. Zetter, Wired, 30.07.15. 16. A Wake-Up Call for SATCOM Security, R. Santamarta, IOActive, 09.2014. 17. University of Texas team takes control of a yacht by spoofing its GPS, B. Dodson, gizmag, 11.08.2013. 23 // ВЕБ-БЕзопасность 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 уязвимоСти веБ-приложений В 2015 гОДУ Евгений Гнедин иСточники и методика По итогам выполненных проектов в 2015 году было выделено 30 веб-приложений, для которых проводился углубленный анализ с наиболее полным покрытием проверок. При этом учитывались толь- ко те уязвимости, которые были подтверждены путем проведения проверок на тестовом стенде. Оценка защищенности проводилась методами черного, серого и белого ящиков — как вручную (с ис- пользованием вспомогательных автоматизированных средств), так и с помощью автоматизированного анализатора кода. Метод черного ящика означает исследование сайта от лица внешнего атакующего без дополнительной информации о системе со стороны владель- ца. Метод серого ящика аналогичен методу черного ящика, но в качестве нарушителя рассматривается пользователь, обладающий определенными привилегиями в системе. Метод белого ящика ис- пользует все необходимые данные о системе, включая исходный код приложений. В настоящей статистике приведены только уязвимости, связанные с ошибками в коде и конфигурации веб-приложений. Уязвимости клас- сифицировались согласно угрозам по WASC TC v. 2, за исключением категорий Improper Input Handling и Improper Output Handling, по- скольку они реализуются в рамках множества других атак. Степень риска уязвимостей оценивалась согласно CVSS v. 2. Исследованные приложения принадлежали компаниям, пред- ставляющим телекомы (23%), промышленность (20%), СМИ (17%), IT- компании (17%), финансы (13%) и государственные организации (10%). Большинство веб-приложений, вошедших в выборку, разработаны на Java (43%) и PHP (30%), также встречались приложения, создан- ные с использованием технологий ASP.NET, Perl, ABAP, 1С и других. Приложения работали под управлением серверов Nginx (34%), Microsoft IIS (19%), Apache Tomcat (14%) и WebLogic (14%), а также под Apache и SAP NetWeaver Application Server. Примерно половина исследованных ресурсов (53%) представляли собой продуктивные системы, уже доступные пользователям через интернет, вторую по- ловину составляли тестовые площадки, находящиеся в процессе раз- работки или приемки в эксплуатацию. вСе Сайты уязвимы Недостатки как минимум среднего уровня риска были обнаружены во всех исследованных приложениях. При этом в 70% рассмотрен- ных систем были обнаружены критически опасные уязвимости. В те- чение последних трех лет доля таких систем растет. пользователи не защищены от атак Большинство исследованных приложений позволяют атаковать пользователей. В коде 80% ресурсов обнаружена уязвимость сред- него уровня риска «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). В результате эксплуатации данной уязвимости злоу- мышленник может внедрить в браузер пользователя произвольные HTML-теги, включая сценарии на языке JavaScript и других языках, и таким образом получить значение идентификатора сессии атакуемо- го и совершить иные неправомерные действия, например фишинго- вые атаки. На втором месте — утечка информации (Information Leakage): уязви- мость обнаружена в каждом втором веб-приложении. 47% веб-сай- тов также содержат уязвимости, связанные с отсутствием защиты от подбора учетных данных (Brute Force). Наиболее распространенным доля уязвимых сайтов в зависимости от максимальной степени риска уязвимостей Высокий Средний Низкий 68% 28% 4% 61% 35% 4% 2015 2014 2013 70% 30% Современные веб-технологии позволяют бизнесу эффективно решать многие организационные вопросы, а также демонстрировать свои услуги и товары самой широкой аудитории через интернет. Однако легкостью доступа к сайтам могут воспользоваться и злоумышленни- ки, что ведет к финансовым и репутационным потерям. При этом раз- работчики и администраторы не всегда уделяют достаточно внимания защите веб-ресурсов, обращая основное внимание на функциональ- ность приложений. Ежегодно специалисты Positive Technologies изучают около 250–300 веб-приложений в рамках различных работ, начиная от инстру- ментального сканирования и заканчивая анализом исходного кода. Данный отчет содержит статистику, собранную в ходе работ по анали- зу защищенности веб-приложений в 2015 году. Сравнение с данными аналогичных исследований 2014 и 2013 годов дает возможность оце- нить динамику развития современных веб-приложений с точки зре- ния обеспечения информационной безопасности. positive research 2016 24 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 доли систем с уязвимостями разной степени риска (по средствам разработки) | PHP 0% 20% 40% 60% 80% 100% 44% 100% 56% | Java 38% 100% 69% | Другие 75% 100% 88% Низкий Средний Высокий наиболее распространенные уязвимости (доля сайтов) наиболее распространенные уязвимости (по средствам разработки) | Insufficient Authorization | SQL Injection 0% 20% 40% 60% 80% 100% 40% 20% 48% 20% | Cross-Site Request Forgery 35% 23% | Path Traversal 15% 27% | URL Redirector Abuse 33% 30% | Fingerprinting 73% 30% | XML External Entities 18% 40% | Brute Force 40% 47% | Information Leakage 25% 50% | Cross-Site Scripting 70% 80% 2014 год 2015 год (высокий, средний и низкий риск) СредСтва разраБотки: JAVA не лучШе php В исследованиях прошлых лет PHP-приложения как правило были более уязвимы, чем системы, разработанные с помощью ASP.NET и Java. Однако на сегодняшний день картина изменилась: 69% Java- приложений подвержены критически опасным уязвимостям, а для PHP-систем данный показатель составил 56%, что ниже уровня 2013 года на 20%. недостатком высокого уровня риска в 2015 году стала уязви- мость «Внедрение внешних сущностей XML» (XML External Entities). Уязвимость позволяет злоумышленнику получить содержимое фай- лов, расположенных на атакуемом сервере, либо совершать запросы в локальную сеть от имени атакуемого сервера. PHP Доля сайтов Java Доля сайтов Другие Доля сайтов Cross-Site Scripting 89% Cross-Site Scripting 77% Cross-Site Scripting 75% Information Leakage 56% XML External Entities 54% Information Leakage 75% Brute Force 33% Brute Force 46% Brute Force 63% OS Commanding 22% Path Traversal 31% Fingerprinting 60% SQL Injection 22% Information Leakage 31% XML External Entities 50% Path Traversal 22% URL Redirector Abuse 31% Cross-Site Request Forgery 38% Insufficient Authorization 22% SQL Injection 23% Insufficient Transport Layer Protection 38% Fingerprinting 22% Cross-Site Request Forgery 23% URL Redirector Abuse 38% URL Redirector Abuse 22% Application Misconfiguration 23% Path Traversal 25% XML External Entities 11% HTTP Response Splitting 23% Insufficient Authorization 25% Каждое веб-приложение на PHP в среднем содержит 9,1 крити- чески опасной уязвимости, приложение на Java — 10,5. Для всех других языков программирования и средств разработки в сред- нем на каждую систему приходится лишь 2 критически опасные уязвимости. Уязвимость «Межсайтовое выполнение сценариев» оказалась наи- более распространенной для всех языков программирования. Доля приложений, подверженных уязвимости «Внедрение операторов SQL», сократилась по сравнению с 2014 годом: тогда уязвимость была выявлена в 67% веб-ресурсов, разработанных на PHP, а сейчас встре- чается только в 22%. 25 // ВЕБ-БЕзопасность 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 оШиБки на Серверах microsoFT iis Доля ресурсов с уязвимостями высокой степени риска на базе Microsoft IIS значительно возросла по сравнению с предыдущими го- дами и достигла максимального значения. Зато доля уязвимых сайтов под управлением Nginx снизилась (с 86 до 57%), то же самое с Apache Tomcat (с 60 до 33%). веб-приложения с уязвимостями высокой степени риска (по типу веб-сервера) максимальный уровень риска обнаруженных уязвимостей для тестовых и продуктивных систем (доли уязвимых систем) | IIS 0% 20% 40% 60% 80% 100% 71% 44% 100% | Weblogic н/д н/д 67% | Nginx 57% 86% 57% | Apache Tomcat 60% 60% 33% 2013 2014 2015 Высокий Средний 0% 20% 40% 60% 80% 100% 78,6% 21,4% 62,5% 37,5% | Продуктивная система | Тестовая площадка Для большинства веб-серверов самой распространенной ошибкой администрирования является утечка информации. Данный недоста- ток был обнаружен во всех исследованных приложениях под управ- лением серверов Microsoft IIS. На втором месте — отсутствие защиты от подбора учетных данных. Сайты Банков и iT-компаний под уГрозой Как и в пошлом году, на всех банковских сайтах обнаружены кри- тически опасные уязвимости. Аналогичная ситуация наблюдается в сфере IT. Положительная динамика отмечена лишь для приложений промышленных и телекоммуникационных компаний. раБочие СиСтемы защищены ненамноГо лучШе теСтовых Доля уязвимых приложений, уже находящихся в эксплуатации, очень велика: более половины (63%) подвержены критически опасным уязвимостям. Такие недостатки могут позволить нарушителю полу- чить полный контроль над системой (например, в случае загрузки произвольных файлов или выполнения команд), а также получать чувствительную информацию (например, в результате эксплуата- ции уязвимостей «Внедрение операторов SQL», «Внедрение внеш- них сущностей XML» и других). Также нарушитель может проводить успешные атаки типа «отказ в обслуживании». доли приложений с уязвимостями высокого уровня риска для различных отраслей экономики | Государственные учреждения 0% 20% 40% 60% 80% 100% 33% |