воскресенье, 30 сентября 2012 г.

Безопасность АСУ ТП. Добро пожаловать в прошлый век!

В настоящее время индустрия переживает бум интереса к безопасности систем АСУ ТП/SCADA. Причины понятны – возросшая степень автоматизации, увеличение количества инцидентов и угроз и четко обозначенный интерес регуляторов. 
Чтобы подтвердить тезис приведу количество уязвимостей, обнаруженных в последнее время в системах АСУ ТП. 

Количество уязвимостей в год

понедельник, 17 сентября 2012 г.

منتدى دولي في مجال الحماية العملية

...Internet...PCI DSS...Visa...Stuxnet...Positive Hack Days... :)

+ Полная версия


четверг, 13 сентября 2012 г.

Незрелая безопасность SCADA


Тут недавно Алексей по своему обыкновению негодовал за незрелость и непонимаение. Имею мнение.


О какой защите бизнес-уровня можно говорить, когда в настоящее время безопасность SCADA находится на том же уровне зрелости, что Интернет-безопасность 10 лет назад. Базовые средства и механизмы защиты еще не внедрены. Сами системы с точки зрения Application Security не выдерживают никакой критики. Приведу пример из жизни.
Предположим, вы решили построить систему управления фродом на бензоколонках.
Для владельцев АЗС и для фрод со стороны персонала заправок является серьезной проблемой, расплачиваться за которую приходится, как это не печально автомобилистам. Низкая степень безопасности систем автоматизации, рабочих мест кассиров, топливораздаточных колонок, контроллеров сопряжения, платежных терминалов приводит к тому, что мошенники начинают использовать в своих целях не тривиальные трюки с «недоливом», а вполне высокотехнологичные приемы. В ход идут манипуляции с пластиковыми карточками бонусных программ, изменение прошивок контроллеров и изменения данных в таблицах СУБД, хранящих информацию о соответствии между купленным и фактически отпущенным топливом.

И вы ставите супер-мега средство сохранения дохода. Но!

Учитывая, что в большинстве случаев база хранится на том же рабочем месте кассира, которые работает с правами администратора, а пароль на контроллер, управляющий ТРК == admin/admin, до вашей системы просто не будет доходить достоверная информация. И все ее красота будет просто бесполезна.

Собственно к чему это я. Всему свое время. Сейчас индустрия безопасности АСУ ТП проходит первые шаги. Внедряет и адаптирует базовые средства защиты. Ведь без них в остальном смысла нет.

PS. Недавно Siemens разразился новыми патчами и уведомлениями для своей SCADA/HMI WinCC и PLC S7. Будет большей. Подробнее тут: http://scadastrangelove.blogspot.com/search/label/Releases

PPS. В ближайшее время буду выступать на тему безопасности SCADA на Infosecurity в Москве и Power Of Community в Сеуле.

вторник, 11 сентября 2012 г.

Security13 Podcat: Security Awareless

 Бивис и Батхед Влад & Co на жесткой кибермове трут за phdays.

Слушать.

понедельник, 3 сентября 2012 г.

Научим "взламывать" Интернет-банки. Бесплатно

Цитата:

"В программу Positive Education включен лабораторный практикум по анализу защищенности систем дистанционного банковского обслуживания (ДБО)... 
В основу практикума «Анализ защищенности ДБО» легла собственная тестовая система дистанционного банковского обслуживания PHDays I-Bank, созданная с нуля ведущим специалистом Positive Technologies Сергеем Щербелем для целей проведения хакерского конкурса «Большой ку$h» на форуме Positive Hack Days 2012. Система PHDays I-Bank представляет собой типичный интернет-банк с веб-интерфейсом, процессингом и PIN-кодами для доступа к счету. На сегодняшний день в PHDays I-Bank заложено около двухсот уязвимостей, встречающихся в современных системах ДБО....
...Программа Positive Education была представлена в июне 2012 года. Менее чем за три месяца к ней подключились ведущие высшие учебные заведения России и Украины...
В рамках программы компания Positive Technologies предоставляет необходимые компоненты для создания практических учебных программ, включая стенды виртуальных инфраструктур, программные продукты для проведения работ, теоретический материал к практикумам, пошаговое описание лабораторных работ и др. Компания обеспечивает партнерские вузы поддержкой своих экспертов, имеющих богатый практический опыт в области информационной безопасности... "

Источник: http://www.pcweek.ru/security/article/detail.php?ID=141436




Заинтересовавшимся ВУЗам писать: pt@ptsecurity.ru