Некоторые вопросы регулирования рынка ИБ.

Некоторые вопросы регулирования рынка ИБ.
Выступление Пярина Виктора Анатольевича,
лауреата государственной премии РФ, члена-корреспондента Академии криптографии РФ на форуме АЗИ
3 апреля 1914 года.

DSC01492 (2)

Нормативные документы РФ в области информационной безопасности:
Конституция РФ, акты федерального законодательства, международные договоры РФ,  законы федерального уровня (включая федеральные конституционные законы, кодексы), указы Президента РФ, постановления правительства РФ, нормативные правовые акты федеральных министерств и ведомств, нормативные правовые акты субъектов РФ, органов местного самоуправления, государственные (национальные) стандарты РФ, рекомендации по стандартизации, методические указания, международные стандарты информационной безопасности.
Государственные органы РФ, контролирующие деятельность в области  информационной безопасности:
-Комитет государственной думы по безопасности;
– Совет безопасности России;
– Федеральная служба безопасности России (ФСБ России);
– Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
-Министерство внутренних дел Российской Федерации (МВД России);
-Министерство коммуникаций и связи Российской Федерации;
-Центральный банк Российской Федерации (Банк России).
Государственные органы РФ, регулирующие деятельность в области информационной безопасности:
– Федеральная служба безопасности России (ФСБ России);
– Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
-Федеральная служба надзора в сфере информационных технологий и массовых коммуникаций (Роскомнадзор);
-Центральный банк Российской Федерации (Банк России).

Казалось бы в области информационной безопасности всё организовано, отрегулировано и контролируется. Так ли это?
Представляется, что в настоящее время основные угрозы информационной безопасности исходят от информационно-телекоммуникационных сервисов, которые реализуются компаниями, деятельность которых практически не регулируется;
Новые информационные технологи и сервисы создаются в рамках глобальной телекоммуникационной инфраструктуры;
Информационные технологии и сервисы появляются так стремительно, что государству трудно определять без существенного запаздывания результативные механизмы их контроля с точки зрения информационной безопасности;
Участники рынка услуг связи и предоставления информационно-телекоммуникационных сервисов  не мотивированы к совместному решению проблем информационной безопасности;
Государство не располагает единым центром принятия решений в области регулирования информационной безопасности.
Обеспечение информационной безопасности не попадает под  действие закона о техническом регулировании и, как следствие, попытки создания технических регламентов в этой области потерпели фиаско.
К чему приводят указанные проблемы?
К росту киберпреступности. Проблема киберпреступности  обсуждается на уровне ООН в одном ряду с такими «вечными» недугами человечества как работорговля, незаконная миграция, торговля наркотиками и оборот оружия.
Вопросы борьбы с киберпреступностью имеют высокий приоритет среди наиболее актуальных вопросов в деятельности российского государства.
Нередко тратятся значительные средства на мало результативные механизмы  обеспечения информационной безопасности.
Снижается авторитет государства в области регулирования вопросов информационной безопасности.
Указанные проблемы приводят также к замедленному развитию электронного бизнеса, к отставанию от потребностей своевременного оказания электронных услуг населению.
Стратегические направления деятельности по решению указанных проблем
Создание единого центра формирования государственной политики в области информационной безопасности.
Внедрение механизмов саморегулирования на рынке ИБ.
Внесение изменений в законодательство РФ, позволяющих привлекать к регулированию обеспечения информационной безопасности  СРО.
Стимулирование на создание саморегулируемых организаций  по ИБ.
Что такое СРО?
Определение СРО
Саморегулируемыми организациями признаются некоммерческие организации, созданные в целях, предусмотренных ФЗ №315 от01.12.2007 «О саморегулируемых организациях» и иными ФЗ, основанные на членстве, объединяющие субъектов предпринимательской деятельности исходя из единства отрасли производства товаров (работ, услуг) или рынка производственных товаров (работ, услуг) (юридические лица и ИП), либо объединяющие субъектов профессиональной деятельности определённого вида (физлица).
Членство в СРО
Членство субъектов предпринимательской или профессиональной деятельности в саморегулируемых организациях является добровольным.
Федеральными законами могут быть предусмотрены случаи обязательного членства субъектов предпринимательской или профессиональной деятельности в саморегулируемых организациях.
Субъект, осуществляющий различные виды предпринимательской или профессиональной деятельности, может являться членом нескольких саморегулируемых организаций, если такие саморегулируемые организации объединяют субъектов предпринимательской или профессиональной деятельности соответствующих видов.
Субъект, осуществляющий определенный вид предпринимательской или профессиональной деятельности, может являться членом только одной саморегулируемой организации, объединяющей субъектов предпринимательской или профессиональной деятельности такого вида.

Требования к СРО:
-членство не менее 25 субъектов предпринимательской деятельности или не менее 100 субъектов профдеятельности определённого вида;
-наличие стандартов и правил предпринимательской или профессиональной деятельности, обязательных для выполнения всеми членами саморегулируемой организации;
-обеспечение саморегулируемой организацией дополнительной имущественной ответственности каждого ее члена перед потребителями произведенных товаров (работ, услуг) и иными лицами;
-наличие (должны быть созданы) специализированных органов, осуществляющих контроль за соблюдением членами саморегулируемой организации требований стандартов и правил предпринимательской или профессиональной деятельности и рассмотрение дел о применении в отношении членов саморегулируемой организации мер дисциплинарного воздействия, предусмотренных внутренними документами саморегулируемой организации.
Предмет саморегулирования — предпринимательская или профессиональная деятельность субъектов, объединенных в саморегулируемые организации.
Способы осуществления деятельности:
Разрабатывает и утверждает стандарты и правила предпринимательской или профессиональной деятельности (далее — стандарты и правила саморегулируемой организации), под которыми понимаются требования к осуществлению предпринимательской или профессиональной деятельности, обязательные для выполнения всеми членами саморегулируемой организации.
Стандартами и правилами саморегулируемой организации могут устанавливаться дополнительные требования к предпринимательской или профессиональной деятельности определенного вида.
Основная идея СРО – возложить часть контрольных и надзорных функций за деятельностью субъектов в определённой сфере на самих участников рынка. При этом собственно государственный надзор в большей степени сосредотачивался бы не на надзоре за деятельностью, а на надзоре за её результатами.
В России сегодня уже около полутора тысяч саморегулируемых организаций и около десяти миллионов человек в той или иной мере вовлечены в проблемы СРО. Таким образом, саморегулирование как общественно-правовое явление состоялось.
В марте 2014года  IV Всероссийский форум саморегулируемых организаций собрал около семисот человек лично и около полутора-двух тысяч в интерактивном режиме активных участников движения саморегулирования, представляющих более шестидесяти отраслей экономической деятельности.
ЦЕЛЕСООБРАЗНОСТЬ    СОЗДАНИЯ САМОРЕГУЛИРУЕМОЙ  ОРГАНИЗАЦИИ                                                         ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (СРО ИБ)   В РОССИЙСКОЙ ФЕДЕРАЦИИ
Необходимость создания СРО ИБ, на мой взгляд, объективно обусловлена высокой значимостью информации в современном всё более информатизируемом обществе. Сегодня в совокупности производимых товаров (работ, услуг) всё более расширяется доля информационных продуктов. К сожалению в мире, в том числе и в России, всё чаще реализуются попытки несанкционированного доступа к электронным базам данных различных организаций (особенно в финансовой сфере, где информация — реальные деньги), что является причиной их материальных потерь и репутационного ущерба. Статистика таких преступлений имеет высокие темпы роста, вызывает необходимость выработки эффективных мер противодействия.
СРО ИБ могли бы внести заметный вклад в создание системы мониторинга и быстрого реагирования на такие преступления.
В России на текущий момент сформировался и продолжает активно развиваться рынок организаций, специализирующихся на различных  вопросах обеспечения информационной безопасности.
Создаются профессиональные объединения таких организаций (ассоциации и др.). Развивается законодательная база, направленная на эффективное регулирование отношений участников общества в части информации.
К сожалению, не все организации ведут честный и открытый бизнес, сегодня не существует эффективных фильтров для участия в конкурсах и аукционах только тех компаний, которые реально способны предоставлять заказчикам продукты и услуги высокого качества.
Федеральный закон от 01.12.2007 N315-ФЗ «О саморегулируемых организациях» предоставляет участникам рынка — субъектам предпринимательской деятельности (юридическим лицам и индивидуальным предпринимателям), специализирующимся на производстве товаров (работ, услуг) в области информационной безопасности, возможность создать профессиональные объединения в виде некоммерческих саморегулируемой организации информационной безопасности — СРО ИБ. В основе деятельности таких организации лежит, определяемое законом N315-ФЗ саморегулирование, под которым понимается самостоятельная и инициативная деятельность, осуществляемая субъектами предпринимательской деятельности, образовавшими СРО ИБ, содержанием которой являются разработка и установка стандартов и правил названной деятельности, а также контроль за соблюдением требований названных стандартов и правил. Обязательными условиями создания СРО ИБ являются также востребованность в её образовании не менее чем 25 субъектами предпринимательской деятельности российского рынка, специализирующимися на решении вопросов информационной безопасности, обеспечение со стороны СРО ИБ дополнительной имущественной ответственности каждого её члена перед потребителями произведенных ими товаров (работ, услуг).

КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ СРО ИБ
Целью настоящих концептуальных основ является описание основных положений деятельности некоммерческой саморегулируемой организации, сферой деятельности которой является информационная безопасность (СРО ИБ).
Основное назначение СРО ИБ — саморегулирование  объединённых в качестве её членов субъектов предпринимательской деятельности российского рынка, занимающихся вопросами информационной безопасности, зарегистрированных, как и сама СРО ИБ, в установленном порядке в соответствующих государственных органах и осуществляющих свою предпринимательскую деятельность в соответствии с Гражданским кодексом РФ.
Деятельность СРО ИБ должна соответствовать всем требованиям Федерального закона от 01.12.2007 №315-ФЗ «О саморегулируемых организациях».
Нормативно-правовая база СРО ИБ должна включать в себя совокупность федеральных законов и разработанных в соответствии с ними иных нормативных правовых актов, регламентирующих общие требования к деятельности СРО ИБ, а также принятые в соответствии с ними стандарты и правила предпринимательской деятельности и иные внутренние нормативные акты, обязательные для выполнения всеми членами СРО ИБ.
Стандарты СРО ИБ должны развиваться с учетом взаимодействия с российскими и международными организациями – разработчиками открытых стандартов в области ИБ на основе применения и эффективного сочетания международных и российских стандартов с учётом специфики рынка.
СРО ИБ должна заниматься расширением количества своих членов, распространять на равных условиях среди участников рынка, не являющихся членами СРО ИБ, свои стандарты и правила предпринимательской деятельности для расширения на этой основе инфраструктуры для внедрения и практического применения различных товаров (работ, услуг) ИБ с целью получения реальной экономической выгоды членами СРО ИБ и участниками рынка.
СРО ИБ должна взаимодействовать с участниками российского рынка, специализирующимися на вопросах ИБ: с государственными организациями-регуляторами (в том числе по вопросам развития нормативно-правовой базы СРО ИБ), интеграторами, разработчиками систем защиты информации и их потребителями (в том числе по вопросам консалтинга, проектирования, разработки, внедрения и эксплуатации технологий ИБ), ассоциациями и другими общественнными организациями по вопросам, представляющим взаимный интерес, исходя из целей и задач их деятельности.
СРО ИБ должна организовать с участием своих членов для обеспечения реализации требований нормативно-правовой базы СРО ИБ систему сертификации СРО ИБ, которая должна взаимодействовать с соответствующими профильными государственными (ФСБ России, ФСТЭК России, Минкомсвязи России,  Банк России) и международными (Visa, MasterCard и др.) центрами сертификации.
СРО ИБ должна заниматься проведением общественной экспертизы отдельных, наиболее значимых по критериям стоимости внедрения и эксплуатации проектов ИБ, разработанных членами СРО ИБ, с целью возможного предложения их членам СРО ИБ и участникам рынка в качестве передовых технологий ИБ.
СРО ИБ в вопросах развития российского рынка ИБ должна исходить из обеспечения национальных интересов РФ и интересов своих членов, участников российского рынка.
СРО ИБ должна заниматься организацией своих конференций, семинаров, выставок и иных мероприятий, организовывать участие своих членов и принимать участие в проведении подобных мероприятий, организуемых другими организациями по вопросам ИБ.
Решения СРО ИБ в отношении участников рынка должны носить рекомендательный характер, а в отношении членов СРО ИБ, в случаях когда это регламентировано нормативно-правовой базой СРО ИБ, быть обязательными для исполнения.
Задачи, которые СРО ИБ может решать:
-установление правил этики конкуренции на рынке обеспечения безопасности ИТУ, противодействие монополизации рынка защиты информации, содействие интеграции России в мировое информационное пространство;
-разработка и установление согласованных участниками рынка требований (рекомендаций) по обеспечению безопасности информационных систем, в том числе информационных систем персональных данных (за исключением ИС критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи.  В т.ч. разработка проектов стандартов ИБ для новых информационных технологий. Согласование стандартов с ФСБ России, ФСТЭК России, Минкомсвязи и Банком России  ;
-организация системы добровольной аккредитации организаций, оценки качества продуктов и услуг, в том числе, новых информационных технологий, на соответствие требованиям (рекомендациям) по ИБ, установленным стандартами СРО (цель этого пункта — ускорение внедрения новых ИТ за счет сокращения времени оценки качества новых технологий, продуктов и услуг);
-сертификация в рамках системы добровольной сертификации  продуктов и услуг в области обеспечения ИБ информационных систем, в т.ч. ИСПДн (за исключением ИС КВО), ИТС и других СС;
-защита интересов членов организации при разработке и изменении российского и международного законодательства и стандартов в области ИБ, применении норм права в области ИБ, в том числе законодательства по ПДн;
-взаимодействие с уполномоченным органом по защите прав субъектов ПДн (Роскмонадзор) при регулировании отношений между субъектами ПДн и участниками рынка ИТУ;
-содействие ФСБ России, ФСТЭК, Минкомсвязи и Банку России при разработке требований (рекомендаций) по обеспечению ИБ и безопасности ПДн для рынка ИТУ (т.е. отраслевых НПА по обеспечению ИБ и безопасности ПДн);
В России отсутствуют СРО в области информационной безопасности (по аналогии СРО в областях финансового аудита, строительства и др.).
В мировой практике аналоги СРО в области информационной безопасности существуют, например, PCI Council – Совет в области стандартов безопасности индустрии платежных карт.
В качестве наиболее близкого к ИБ примера СРО в России можно привести
ИТ-СРО «Межрегиональное объединение организаций в области проектирования «ЯРД».
НП «МОООП «Ярд» — отраслевая саморегулируемая организация, объединяющая в своих рядах ИТ-компании, в деятельность которых включены проектные работы на объектах капитального строительства, включая особо опасные и технически сложные, а также на объектах использования атомной энергии.
Для законного осуществления своей деятельности, многим организациям необходимо наличие Свидетельства о допуске на виды работ, которые оказывают влияние на безопасность объектов капитального строительства. Под действие Закона попали не только классические строительные организации, но и компании, работающие на рынках информационных и коммуникационных технологий.
При вступлении в специализированную СРО проектировщиков, у организаций появляется возможность, при взаимодействии с компаниями-единомышленниками, формировать правила саморегулирования, исходя из собственных профессиональных интересов.
Цель ИТ-СРО «Межрегиональное объединение организаций в области проектирования «ЯРД»  — совершенствование отрасли путем выстраивания эффективных механизмов саморегулирования и защиты интересов своих участников.
Пример самоорганизации по вопросам информационной безопасности (пока не СРО)
АБИСС-Сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР
2004 год – вышла первая версия стандарта по ИБ, разработанная для внутреннего использования в Банке России
2006 год – 02.02.2006 года состоялось подписание меморандума о создании Сообщества АБИСС (Подписанты: ЗАО «Андек», НПФ «Кристалл», ГНИИ ПТЗИ ФСТЭК России, ООО «Линс-М», КПМГ и Эрнст энд Янг.)
2011 год – основной задачей Сообщества ABISS становится организация механизмов саморегулирования и взаимодействие с регуляторными и контрольными органами (Роскомнадзора, ФСБ России, ФСТЭК России, Банка России). Создаётся НП «Сообщество пользователей стандартов по информационной безопасности АБИСС».
2013 год – реорганизация НП «АБИСС» в целях получения статуса СРО
Приоритетные направления деятельности АБИСС  на 2014 год
Завершение  создания системы контроля качества, формирование Комитета по контролю качества
выполнение необходимых условий для регистрации НП «АБИСС» как СРО, в частности:
обеспечение наличия минимального количества ее членов – не менее 25 субъектов предпринимательской деятельности или не менее 100 субъектов профессиональной деятельности.
принятие в строго легитимном порядке и в установленной федеральным законодательством и внутренними нормативными актами СРО форме обязательных стандартов и правил предпринимательской и профессиональной деятельности, под которыми понимаются требования к осуществлению предпринимательской или профессиональной деятельности, обязательные для выполнения всеми членами будущего СРО.
обеспечение  дополнительной имущественной ответственности СРО, что обеспечивается наличием компенсационного фонда СРО и коллективного либо индивидуального страхования ответственности членов СРО.
Получение статуса СРО.
НП «СОИБ» — некоммерческое партнерство «Содружество организаций, работающих в области информационной безопасности »
Учреждено в 2013 году по инициативе ряда членов АЗИ.
На сайте soibrf.ru можно ознакомиться с Уставом НП «СОИБ» а также получить дополнительную информацию.
В настоящее время проводится работа по подготовке необходимого для внесения НП «СОИБ» в государственный реестр СРО Росреестра пакета документов и, в первую очередь, стандартов и правил, регулирующих деятельность своих членов в соответствие с правилами деловой этики и препятствующие недобросовестной конкуренции. На этом же этапе планируется пригласить к присоединению к НП «СОИБ» широкий круг предприятий и организаций, работающих в сфере производства товаров (работ и услуг) в области информационной безопасности.
Как председатель Правления НП СОИБ я надеюсь, что  процесс создания, развития и функционирования СРО по ИБ будет поддержан  государственными регуляторами в области информационной безопасности и будет проходить в тесном и конструктивном взаимодействии с ними.
Без поддержки государственных регуляторов создание СРО в области информационной безопасности, на мой взгляд, не имеет смысла.

Представляется, что образование участниками рынка СРО ИБ и их активная деятельность могут внести весомый вклад в построение в России современного, в том числе в части решения вопросов информационной безопасности, информационного общества по всем его функциональным направлениям с учетом целей и задач «Стратегии развития информационного общества в Российской Федерации до 2020 года».

Благодарю за внимание.
Пярин Виктор Анатольевич,
член АЗИ, лауреат государственной премии РФ,
член-корреспондент Академии криптографии РФ.

Растет активность рекламного трояна Boaxxe

Растет активность рекламного трояна Boaxxe

Александр Панасенко

Международная антивирусная компания ESET предупреждает о возросшей активности трояна Boaxxe, который заражает пользователей, перенаправляя их на рекламные сайты. Win32/Boaxxe.BE – семейство вредоносных программ, используемых киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»).

Данная программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 года троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ (т.н. «партнерок») в русскоязычном сегменте сети.

За последние четыре месяца, в течение которых эксперты ESET отслеживали активность Boaxxe, к данной партнерской программе присоединились более сорока новых участников.

Согласно проанализированной статистике, за два месяца один из участников заразил трояном Boaxxe свыше 3300 устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров» заражению подверглись не менее 100 000 пользователей.

Троян Boaxxe реализует два типа кликфрода – автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя, в течение всего времени работы зараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь – он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результаты выдачи рекламные сайты вместо искомых.

При автоматическом кликфроде прибыль злоумышленников значительно выше – согласно статистике активности вышеупомянутого участника партнерки, за два месяца его прибыль составила $200 за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.

На данный момент заинтересованность киберпреступников в Boaxxe подтверждается увеличением числа источников его распространения. Пиковая активность, представленная на графике, соответствует активности некоторых участников партнерской программы. Так, один из них перед Новым годом запустил масштабную спам-кампанию для широкого распространения трояна.

Стоит отметить осторожное поведение Boaxxe в захваченной системе – программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.

Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.

При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул – вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется.

Что примечательно, если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться.

В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом.

Персональные данные всех американцев можно купить

Персональные данные всех американцев можно купить

Не нуждающийся в представлении Брайан Кребс после семи месяцев расследования осуществил очередное громкое разоблачение. Он обнаружил, что на подпольных хакерских форумах можно купить информацию о любом американце, включая номер социального страхования, день рождения, номер водительского удостоверения и т.д. Цены разнятся от 50 центов до $2,50 за персональную информацию и от $5 до $15 за проверку кредитной истории и более подробные биографические данные.

Брайан Кребс проверил, что информация действительно правдивая, и продавец под ником SSNDOB реально имеет доступ к подлинным государственным и коммерческим базам данных о резидентах США.

Хуже того, летом нынешнего года компьютеры SSNDOB неоднократно были взломаны, а информация попала в открытый доступ, в том числе к Брайану Кребсу. Он исследовал архив и сразу не смог установить источники информации: они были помечены как DB1, DB2 и т.д. Но вскоре анализ активности администраторов SSNDOB дал повод предположить, что под их управлением находится маленький ботнет, который напрямую связан с внутренними системами 25 крупных американских дата-брокеров, собирающих информацию на американских граждан.

Судя по всему, SSNDOB сумел заразить компьютеры дата-брокеров и получить доступ к их информационным архивам. Одна из жертв заражения — известная компания LexisNexis, владелец крупнейшей в мире базы данных юридических документов, включая судебные постановления, штрафы, квитанции и прочие плоды работы государственной бюрократической машины.

Панель управления ботнетом показывает, что на сервер LexisNexis в апреле 2013 года помещен бэкдор nbc.exe.

Два других взломанных сервера принадлежат еще одному крупному дата-брокеру Dun & Bradstreet, которого взломали в марте.

Четвертый сервер на связи с ботнетом принадлежит компании Kroll Background America, Inc., которая занимается проверкой биографии кандидатов перед устройством на работу.

Всего были взломаны серверы 25 компаний, имеющих в своем распоряжении большие базы данных с персональной информацией.

Местонахождение покупателей информации SSNDOB показано на диаграмме. За последние два года им продано 1,02 млн номеров социального страхования, 3,1 млн записей о датах рождения и проч.

На смену ботнетам пришли атаки, осуществляемые при помощи кластеров

На смену ботнетам пришли атаки, осуществляемые при помощи кластеров

В течение нескольких лет для генерации валюты Bitcoin или осуществления DDoS-атак использовались ботнеты, являющие собой сеть зараженных компьютеров. По словам эксперта безопасности Алехандро Касереса (Alejandro Caceres), сейчас для того, чтобы одновременно атаковать тысячи и даже миллионы целей (к примеру, IP-адреса), злоумышленникам достаточно воспользоваться недорогим аппаратным обеспечением, стандартным интернет-соединением, а также инструментами из открытых источников.

Касерес, являющийся владельцем компании Hyperion Gray и основателем PunkSPIDER, сообщил, что хакеры могут потенциально осуществить атаку при помощи распределенных кластеров Hadoop, используя либо стандартные аппаратные средства, либо облачные сервисы (например Elastic MapReduce от Amazon). При этом, платформой для осуществления атаки будет именно кластер из машин или систем на базе облака, а не ботнет, как это было в последние десять лет.

«Это не так, как использовать ботнет. Ботсети, как правило, представляют собой «безмозглые» системы, используемые для осуществления DDoS-атак. То, о чем я говорю, — это создание собственных распределенных кластеров, состоящих из домашних ПК или машин на базе облака, и использование этих кластеров для точно скоординированных комплексных атак», — заявил Касерес.

Эксперт рассказал, как при помощи кластера Apache Hadoop могут осуществляться атаки с использованием SQL-инъекций. По словам эксперта, ему удалось осуществить SQL-инъекцию на 61 целевой системе всего за 45 секунд, хотя обычно подобная атака на один компьютер занимает одну минуту. Благодаря такой большой скорости, злоумышленники могут атаковать гораздо больше целевых систем, чем раньше, поскольку у жертв попросту недостаточно времени для принятия контрмер.

Топ-10 самых тревожных докладов на Black Hat 2013

Топ-10 самых тревожных докладов на Black Hat 2013

Конференция по информационной безопасности Black Hat USA проходит уже 16 лет подряд и привлекает внимание хакеров, консультантов по безопасности и правительственных агентов по всему миру. В 2013 году она проходила в течение всей прошлой недели, и последних два дня проводился брифинг со СМИ, по итогам которого издание ITProPortal составило «топ-10 самых страшных событий Black Hat 2013».

Отметим, что в ходе мероприятия большинство исследователей посвящают слушателей во все подробности того, как именно им удалось проэксплуатировать ту или иную уязвимость, однако это не является результатом безответственного поведения. Публичное раскрытие этой информации призвано привлечь к проблеме общественное внимание и заставить разработчиков выпустить исправление.

Итак «топ-10 самых страшных событий Black Hat 2013»:

10. Смерть Барнаби Джека (Barnaby Jack). Экстраординарный хакер, долгое время являвшийся участником Black Hat, умер за несколько дней до своей презентации в текущем году. Тема его доклада была связана с прошлогодними исследованиями медицинского оборудования. Джек намеревался рассказать о взломе и дальнейшей манипуляции кардиостимуляторами.

9. Компания Rapid7 скрасила вечерний досуг участников конференции, пригласив танцоров и пиротехников. С безопасностью это не связано, однако, по словам очевидцев, выглядело довольно устрашающе.

8. Исследователи напомнили о проведении крупнейшей DDoS-атаки в мировой истории мощностью 30 Тб/с, а также продемонстрировали, как можно с легкостью ее усилить в 10 или даже в 100 раз.

7. Глава АНБ США Кейт Александер (Keith Alexander) пообещал раскрыть истину о работе американских спецслужб. В ходе своего выступления он обратился к присутствовавшим экспертам со словами: «Мы должны услышать ваши идеи, а вы должны услышать факты». Один из слушателей назвал Александера лжецом, после чего охранники конфисковали у него упаковку яиц.

6. Эксперты провели исследование, согласно которому в мире фишинговых атак наблюдается новая опасная тенденция. Так, вместо создания вредоносных писем от якобы надежного источника, злоумышленники все чаще прибегают к попыткам имитации стиля письма тех или иных людей, опираясь на их сообщения в социальных сетях.

5. Сотрудники White Hat Security смогли провести успешную и рекордно дешевую DDoS-атаку на свои собственные серверы. В рамках эксперимента они потратили на создание собственной бот-сети ровно $50, которыми оплатили размещение вредоносного рекламного баннера.

4. Используя усилители сигнала мобильной сети от компании Femtocell исследователи в режиме реального времени продемонстрировали перехват трафика пользователей. Без особого труда им удалось получить доступ к текстовым и графическим сообщениям, интернет-трафику и прочим данным уязвимого смартфона.

3. Представители Georgia Tech показали участникам Black Hat как можно внедрить в приложение для Android вредоносный код, оставляя нетронутым сертификат разработчика. Модифицированное таким образом ПО распознается операционной системой, как легитимное.

2. Эксперты публично получили корневой доступ к видеокамерам четырех популярных производителей, предназначенным для ведения наблюдения на объектах, требующих охраны.

1. Наиболее шокирующей для участников Black Hat демонстрацией стал взлом iPhone при помощи модифицированного специальным образом зарядного устройства от Apple. Одного подключения смартфона к розетке оказалось достаточно для того, чтобы исследователи получили неограниченный контроль над смартфоном.

Россияне обнаружили критически опасную уязвимость в SAP Router

Россияне обнаружили критически опасную уязвимость в SAP Router

Александр Панасенко

Впервые в истории крупнейшей в мире конференции по ИБ Black Hat 2013 уязвимость, найденная российскими исследователями, была номинирована на звание лучшей уязвимости серверной части программного обеспечения 2013 года.

Критическая уязвимость, найденная исследователем компании Digital Security Григорием Носенко, связана с переполнением буфера в SAP-роутере и позволяет любому атакующему из Интернет получить полный доступ к системе и ко внутренним серверам SAP-систем большинства организаций. Это первая и пока единственная уязвимость такого уровня критичности, обнаруженная в SAP-роутере. Данное приложение долгое время было практически неуязвимым, пишет cybersecurity.ru.

С учетом того, что SAP-роутер используется огромным количеством корпоративных клиентов SAP и предназначен для получения удаленного доступа через Интернет ко внутренним SAP-системам, эта уязвимость является особо опасной. Именно поэтому корпорация SAP, получив информацию о ней, оперативно ее устранила, выпустив соответствующее обновление и своевременно уведомив об этом своих клиентов в мае 2013 года.

Компания Digital Security рекомендует устранить данную уязвимость в кратчайшие сроки. Более подробные детали будут опубликованы в августе вместе с ежегодным исследованием безопасности SAP. Digital Security является официальным сервис-партнером SAP AG, а также разработчиком продукта ERPScan Security Monitoring Suite.

Беспечность разработчиков ZPanel обернулась взломом инфраструктуры проекта

Беспечность разработчиков ZPanel обернулась взломом инфраструктуры проекта

Поучительная история развивается вокруг открытой панели управления хостингом ZPanel, разработчики которой пренебрежительно отвечали на критику об использовании небезопасного стиля кодирования (например, использование eval, прямая подстановка переменных из массива $_POST в запросы SQL, наличие процесса zsudo для запуска любого кода ZPanel с правами root). Критика игнорировалась даже при демонстрации конкретных уязвимостей. Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности. Кроме того, разработчики излишне доверяли результатам ранее заказанного стороннего аудита кода, который судя по всему являлся лишь формальной и поверхностной проверкой. Если явная уязвимости, которая позволяла поменять пароль администратора, была исправлена, то вторая проблема, затрагивающая систему шаблонов, оставалась неисправленной более 8 месяцев, после чего выявивший недоработку энтузиаст публично опубликовал данные о методе эксплуатации. Уязвимость позволяла выполнить произвольный PHP-код с правами root. Авторы ZPanel отказались признать это серьёзной проблемой, так как для эксплуатации уязвимости требуется загрузки шаблона, а эта операции доступна только пользователю с правами администратора, реселлеры по умолчанию не имеют доступа к загрузке шаблонов. При этом несмотря на запрет по умолчанию, при изменении настроек штатная возможность загрузки шаблона реселлером имеется, т.е. при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере. Так же принципиально не исправлялись проблемы с возможностью осуществления межсайтовых запросов (CSRF), которые не признавались авторами как уязвимости. В мае один из участников проекта заявил, что ZPanel является более безопасным продуктом, чем имеющиеся аналоги, и что у пользователей больше шансов компрометации систем через уязвимости в ОС, чем через уязвимости в панели управления. После возобновления попыток доказать в форуме проекта, что это не так и давно следует переработать подход к безопасности в ZPanel, представители проекта в достаточно грубой и неуважительной форме показали энтузиасту его место и охарактеризовали его критику как «f*cken little know it all». Спустя несколько дней, от имени лидера службы поддержки ZPanel в форуме было опубликовано сообщение о закрытии проекта в связи с невозможностью обеспечить безопасность кода. Как оказалось, данное сообщение было отправлено злоумышленниками после взлома ряда служебных аккаунтов участников проекта. Кроме того, в сети были опубликованы скриншот входа с правами root на один из серверов инфраструктуры ZPanel и файл с хэшами паролей некоторых участников проекта. В настоящее время работа сайта ZPanel остановлена и ведётся разбор причин инцидента. По сведению от администраторов инфраструктуры ZPanel, злоумышленники смогли получить полный контроль над сервером одного из сотрудников компании, на котором размещался модуль ZPanelCP, в котором имелась неисправленная уязвимость, позволяющая осуществить подстановку SQL-запроса. Сведения о способе взлома аккаунтов на форуме проекта не сообщаются.

В Саудовской Аравии скупают SSL и TLS-уязвимости

В Саудовской Аравии скупают SSL и TLS-уязвимости

Телекоммуникационная компания Mobily из Саудовской Аравии разрабатывает способ перехвата шифрованных данных, передаваемых через сервисы Twitter, Viber и другие мобильные программы. Об этом сообщает криптограф Мокси Марлинспайк, который недавно покинул Twitter, где работал в отделе безопасности.

Он узнал об этом проекте из письма, которое ему отправили представители сотового оператора. В email говорится, что подобное решение навязывается органом, регулирующим деятельность телекоммуникационных компаний в стране. Специалист верит, что во всем виновато правительство Саудовской Аравии. В переписке представители Mobily говорят, что искали способы обойти защиту SSL и TLS-протоколов, что у сотрудников фирмы была возможность следить за сообщениями, якобы связанными с террористической деятельностью.

«В одном из документов, который оказался в моем распоряжении, прямо говорится о создании специальных SSL-сертификатов, которые можно было бы использовать для перехвата данных», – пишет криптограф в своем блоге. «Существенная часть этого документа была посвящена перекупке ошибок и уязвимостей в SSL или поиска других способов получить доступ к данным».

По словам Марлинспайка, уровень изощренности изысканий Mobily низкий. Доход этой компании составляет свыше 5 млрд долларов, так что рано или поздно разработчики что-то придумают. Больше всего специалиста печалит то, что защита во многих программах, за которыми следят, очень низкая. Например, WhatsApp представители оператора смогли взломать всего за несколько дней.

Марлинспайк признает, что было невежливо публиковать в сети детали личной корреспонденции, однако он полагает, что еще более невежливым стало желание правительства следить за гражданами. Представители Mobily воздержались от прямых комментариев в интервью с западными журналистами.

Хакеры из Anonymous и PrivateX взломали сайт комиссии по телекоммуникациям Филиппин

Хакеры из Anonymous и PrivateX взломали сайт комиссии по телекоммуникациям Филиппин

Как отмечает ресурс The Hackers Post, хакеры из группировок PrivateX и Anonymous Philippines осуществили дефейс сайта Национальной комиссии по телекоммуникациям Филиппин (Philippines National Telecommunications Commission) и разместили на взломанном портале обращение к президенту государства с требованием о прекращении конфликта с Малайзией в штате Сабах.

В сообщении, которым была заменена главная страница сайта, злоумышленники заявили, что не поддерживают войну с Малайзией, однако призывают власти Филиппин «защищать суверенитет государства».

«Вторжение на нашу территорию другой страной является неприемлемым. Воздушные действия Малайзии в штате Сабах нужно расценивать, как провокационный акт. Мы не понимаем, как вы можете отдыхать, когда филиппинцы жертвуют своей жизнью, защищая Сабах», — говорится в обращении хакеров.

Кроме того, киберпреступники призвали власти предпринять необходимые шаги в защите правительственных ресурсов от хакерских атак.

На момент публикации новости корректная работа ресурса ntc.gov.ph была восстановлена .

Хакеры атаковали Европу

По сведениям СМИ, неизвестные хакеры устроили массированную атаку на сети сразу целого ряда правительственных учреждений европейских стран. Под удар попали правительственные службы Чехии, Ирландии, Португалии, Румынии, Украины и Бельгии.
Как выяснили специалисты по информационной безопасности, злоумышленники воспользовались уязвимостью в системе компьютерных программ Adobe Reader и Adobe Acrobat, производимых американской компанией Adobe Systems.
Как отмечают эксперты, это новое слово в хакерских атаках, ранее кибер-преступники к подобным приемам не прибегали.
Хакеры рассылали файлы в формате PDF, а затем, пользуясь выявленной уязвимостью, получали доступ к правительственным сетям, шпионя и собирая интересующую их информацию.

Источник