Обзор зарубежных СМИ по тематике информационной безопасности за октябрь: Киберпространство под прицелом

IoT убьет Интернет?

Карта распространения узлов зомби-сети Mirai

Карта распространения узлов зомби-сети Mirai

В начале октября международный институт по безопасности SANS выпустил отчет [1], в котором указывал потенциальную опасность IoT-устройств для безопасности всего Интернета. В отчете анализировались уязвимые видеомагнитофоны (DVR), в которых можно было подменить прошивку и объединить их в мощную зомби-сеть. Собственно, на тот момент такая сеть уже была организована и даже получила название – Mirei. Она была задействована в конце сентября в двух крупных DDoS-атаках: против сайта Брайана Креббса (мощностью 600 Гбит/с) и французского провайдера OVH (1 Тбайт/с). Специалисты SANS попросили администраторов помочь в обнаружении уязвимых устройств, установив специальные эмуляторы соответствующих DVR, чтобы можно было получить информацию о том, где они располагаются.

Однако за месяц выявить все уязвимые устройства и сделать их безопасными не удалось, и в пятницу, 21 октября эта же зомби-сеть атаковала уже инфраструктуру интернет-регистратора доменных имен Dyn [2], одного из крупных, поскольку в его регистратуре оказались такие ресурсы, как Twitter, Reddit, Spotify, Etsy, Box, Shopify, SoundCloud, Github, Airbnb, Freshbooks, Heroku и множество других. Естественно, что все они оказались недоступны. Атака была проведена двумя волнами: первая началась в 14:10 по московскому времени и закончилась в 16:36, вторая – в 18:52 и продолжалась 40 минут. Изначально в атаке заподозрили зомби из сети Mirai. Хорошо, что владельцы зомби-сети не атаковали серверы доменной «точки» – тогда бы перестала работать вся DNS-инфраструктура.

Китайский производитель DVR компания Hangzhou Xiongmai Technology признала, что ее устройства являются частью зомби-сети Mirei и участвовали в атаке на Dyn [3]. Однако компания еще в сентябре выпустила исправления для своих устройств и рекомендовала своим пользователям поменять пароль по умолчанию – именно его использовали злоумышленники для проникновения на устройства и замены прошивки. Понятно, что пользователи могут даже и не знать, что их устройство атакует Интернет – для решения этой проблемы SANS и планировал установить ловушки в различных сетях. Во всяком случае, не все 500 тыс. пользователей смогли обезопасить свои устройства – именно так оценивают эксперты численность зомбированных DVR. В результате компании пришлось отозвать уязвимые продукты, т. е. все модели DVR.

Эта история имела продолжение в инициативе сенатора от штата Вирджиния Марка Уорнера [4], который предложил либо принять стандарт по безопасности IoT-устройств, либо организовать рейтинг безопасности. Сенатор, в частности, поддержал инициативу Питера Затко (известного как хакер Mudge) по исследованию безопасности подключаемого к Интернету оборудованию, которое Затко уже провел в своей лаборатории Cyber Independent Testing Lab. Будем надеяться, что это послужит стимулом для производителей IoT, и они станут уделять больше внимания проблемам информационной безопасности.

yahooYahoo! Как скинуть миллиард

В октябре с Yahoo! случился скандал – мир узнал, что компания занимается текстовым поиском в письмах своих пользователей по заказу специальных служб США [5]. Выяснило этот факт агентство Reuters. Как отмечается, система была построена в рамках законодательных требований Foreign Intelligence Surveillance Act (FISA секция 702). Правда, на запросы прессы остальные владельцы аналогичных систем – Microsoft и Google – ответили, что у них подобных систем мониторинга корреспонденции пользователей нет, и правительственные чиновники не направляли им соответствующих запросов. Правозащитники в шоке: как могла компания, которая обслуживает более 500 млн почтовых ящиков, делиться информацией о их содержании с правоохранительными органами?!

Впрочем, официально Yahoo! тут же отказалась от наличия такой системы поиска, но ей не поверили. «Как же нет? – удивились правозащитники. – Yahoo! уже ловили на чтении писем для таргетирования рекламы. Система-то одна, а для рекламы она используется или для поиска террористов – это уже нюансы». Но мы-то с вами знаем, что нет перлюстрации писем, а есть технология MapReduce, которая вырезает из писем ключевые слова (Map) и направляет сведения об этом куда следует (Reduce), нет никакого поиска по письмам – их содержание не пересылается в АНБ. Вопросы возникли и у европейских правозащитников, которые обратили свой гнев против ирландского представительства компании – оно же должно соблюдать европейские законы о персональных данных, а не какой-то там секции FISA.

Пикантность ситуации была подчеркнута компанией Verizon, которая еще в июле собиралась купить Yahoo! за 4,8 млрд долл. Предполагалось, что в результате сделки Yahoo! будет объединена с AOL, чтобы создать конкуренцию Google. Так вот, после скандала с перлюстрацией электронной корреспонденции в Yahoo! руководство Verizon объявило [6], что из денег, которые ранее оно собиралось потратить на покупку компании, планирует создать фонд в 1 млрд долл. и использовать его на компенсацию рисков, связанных с сотрудничеством Yahoo! со спецслужбами. В результате бывшим владельцам компании должно достаться на 1 млрд долл. меньше.

Идентификация по селфи – защита и нападение

Mastercard использует распознавание лиц для подтверждения личности клиентов

Mastercard использует распознавание лиц для подтверждения личности клиентов

Компания Mastercard объявила [7], что в 12 странах Европы запущена технология распознавания лиц клиентов по селфи. Она получила название pay-by-selfie («плати по селфи») и включена в Identity Check Mobile – программу работы с картами Mastercard на смартфонах. Правда, кроме собственно распознавания лица клиента по селфи приложение будет проверять и камеру, которой сделан снимок, – она должна соответствовать камере смартфона, в котором приложение устанавливается. Альтернативным способом биометрический аутентификации является отпечаток пальца, сканеры есть в некоторых моделях смартфонов.

Изначально технология тестировалась в трех странах – США, Нидерландах и Канаде. Технология зарекомендовала себя положительно – согласно исследованиям Mastercard, 92% пользователей пластиковых карт доверяют технологии Identity Check Mobile больше, чем используемым до этого паролям, а около 83%  считают ее более безопасной. В результате Mastercard решила официально запустить услугу в Великобритании, Австрии, Бельгии, Чешской республике, Дании, Финляндии, Германии, Венгрии, Нидерландах, Норвегии, Испании и Швеции. Планируется, что в следующем году технология будет запущена по всему миру, возможно, станет доступна и для российских пользователей.

Объявление Mastercard было опубликовано 4 октября, а уже 12 октября в блоге McAfee [8] появилась запись об обнаружении троянской программы, которая занимается воровством селфи. Троянец распространяется как модуль для видеоплеера и после установки собирает информацию о хранящихся фотографиях. Когда программа обнаруживает селфи, то спрашивает у владельца устройства, он ли изображен на фотографии. Как интерпретируется ответ – пока непонятно. Сообщается, что вредонос распространяется в Гонконге и Сингапуре, т. е. в странах, где Identity Check Mobile  официально еще не запущена. Естественно, когда-нибудь ареалы распространения этих технологий пересекутся.

Финансы под защитой

shutterstock_208072888Страны «большой технологической семерки» подготовили рекомендательный документ под названием G7 Fundamental elements of cybersecurity for the financial sector («Фундаментальные элементы кибербезопасности для финансового сектора стран “большой семерки”») [9], который описывает рекомендации для стран – участников по обеспечению защиты инфраструктуры финансового сектора. Документ был принят как реакция на атаки против системы SWIFT, которые происходят с начала этого года (мы об этом писали в предыдущих выпусках дайджеста).

Рекомендации представляют собой документ на трех страницах, описывающий наиболее важные компоненты защиты финансового сектора. Их восемь: наличие стратегии киберзащиты и построения защищенной среды; формирование соответствующего регулирования; обеспечение управления и контроля рисков в финансовой сфере; построение систем мониторинга; реагирование на инциденты; восстановление работоспособности после атак и сбоев; распространение информации об инцидентах; обучение безопасным практикам. Предполагается, что эти элементы позволят создать культуру безопасного использования финансовых инструментов и обеспечить совершенствование системы финансовой безопасности стран.

В то же время атаки на международную систему обмена финансовыми сообщениями SWIFT продолжаются. Symantec опубликовала в своем блоге [10] сообщение об обнаружении другого троянца, который интересуется сведениями из SWIFT, – Odinaff. Кампания по распространению этого вредоноса началась в январе текущего года. Способов загрузки несколько – через макрос в офисном документе, через защищенный паролем архив или через другие троянцы (Andromeda и Snifula). Далее троянец «осматривается» в зараженной системе и подгружает дополнительные модули. Один из таких моделей предназначен для контроля программного обеспечения SWIFT, если оно установлено на компьютере. В основном троянец собирает сведения о транзакциях жертвы, но может и посылать свои сообщения в SWIFT. При этом, по словам исследователей Symantec, взлома программного обеспечения SWIFT не происходит. Эксперты Symantec связывают этого троянца с группировкой, эксплуатирующей другого популярного банковского троянца – Carbanak. Группа, которая ранее ограбила с помощью SWIFT банк Бангладеш, называется ими как Lazarus – связи между этими двумя преступными группами эксперты не обнаружили. Таким образом, можно отметить, что как минимум две группы киберпреступников разработали инструменты вмешательства в работу системы SWIFT.

Стратегическое планирование безопасности

Ли Сянь Лун готовиться к отражению кибератак

Ли Сянь Лун готовиться к отражению кибератак

Идея, заложенная в рекомендациях G7 по стратегическому планированию защиты от киберугроз, пошла в народ, и теперь страны, даже не относящиеся к «большой семерке» просто будут вынуждены разработать свои стратегии. В частности, в октябре на сингапурской неделе киберсотрудничества SICW о разработке такой стратегии для Сингапура объявил премьер-министр этой страны Ли Сянь Лун [11].

Стратегия предполагает, что правительство Сингапура обеспечивает создание отказоустойчивой критической информационной инфраструктуры (CII) и принимает меры по ее защите от киберугроз. Для этого правительство рассчитывает запустить процесс системного управления киберрисками, создать планы по реагированию на нападения через киберпространство и по восстановлению повреждений инфраструктуры, а также обеспечить развитие инфраструктуры на принципах «встроенной безопасности» за счет контроля всей цепочки поставок оборудования и программного обеспечения. В стратегии предусмотрено четыре базовых элемента: отказоустойчивая инфраструктура, безопасное киберпространство, экосистема кибербезопасности и международное партнерство.

Уже в октябре Microsoft объявила [12] о создании на территории Сингапура своего Transparency and Cybersecurity Center, который формируется в рамках стратегии компании по взаимодействию с правительствами GSP. Такие центры у компании есть в Редмонде, Вашингтоне и Брюсселе. В России взаимодействие по GSP организовано через НТЦ «Атлас» в рамках договора с компанией. Центр в Сингапуре будет обслуживать еще десять азиатских стран. Всего в программе GSP участвует 40 государств.

О пересмотре своих стратегий в области кибербезопасности задумались и другие страны. В частности, в Канаде, входящей в «большую семерку», пошли разговоры о пересмотре концепции информационной безопасности [13], которая не обновлялась с 2010 г. И если министр общественной безопасности Ральф Гудэйл говорит о новых киберрисках для финансовой системы, то министр иностранных дел Стефан Дион больше боится киберугроз, исходящих от России, Сирии и Северной Кореи. Так или иначе, но идея пересмотра стратегии кибербезопасности овладела умами канадских политиков.

Источники:

  1. https://isc.sans.edu/forums/diary/The+Short+Life+of+a+Vulnerable+DVR+Connected+to+the+Internet/21543/
  2. https://www.dynstatus.com/incidents/nlr4yrr162t8
  3. http://www.reuters.com/article/us-cyber-attacks-manufacturers-idUSKCN12O0MS
  4. http://www.reuters.com/article/us-usa-cyber-ratings-idUSKCN10D2EO
  5. http://www.reuters.com/article/us-yahoo-nsa-exclusive-idUSKCN1241YT
  6. http://www.infosecurity-magazine.com/news/verizon-wants-a-1-billion-discount/
  7. http://newsroom.mastercard.com/press-releases/mastercard-makes-fingerprint-and-selfie-payment-technology-a-reality/
  8. https://blogs.mcafee.com/consumer/everyone-loves-selfies-including-malware/
  9. https://www.ecb.europa.eu/paym/pol/shared/pdf/G7_Fundamental_Elements_Oct_2016.pdf
  10. https://www.symantec.com/connect/blogs/odinaff-new-trojan-used-high-level-financial-attacks
  11. http://www.businesstimes.com.sg/government-economy/pm-lee-launches-singapores-new-cybersecurity-strategy
  12. http://www.enterpriseinnovation.net/article/new-transparency-and-cybersecurity-center-launched-singapore-1630027051
  13. http://globalnews.ca/news/3011891/canadas-cybersecurity-strategy-is-anemic-expert/

 








 

ИД «Connect» © 2015-2016

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика