понедельник, 21 апреля 2014 г.

Кибербойцы невидимого фронта, где вы?

В нашей индустрии – люди — это главное. Не нужны дорогостоящие станки, суперкомпьютеры, и «чистые» ангары для сборки изделий.
Ноутбук, Kali Linux, штатный интернет – вот все, что нужно для кибербойца XXI века.
Шучу конечно. Серверные фермы, удобный офис, виртуальные лаборатории, документация, специализированный софт и главное, компания единомышленников, вместе с которыми можно творить великие дела...
В Positive Technologies сконцентрировано все, что нужно для комфортной работы. Есть у нас и вакансии.
Сегодня хочу подсветить направление Application Security, хотя существуют и другие.
Активно ждем ищем в свою команду экспертов по тестам на проникновению и безопасности приложений, готовых ломать сложнейшие системы, искать уязвимости пачками, входить в международные рейтинги, выступать на модных конференциях и разрабатывать уникальные продукты.
Основные специализации: пентест, AppSec Java/.NET/ABAP.
Подробнее тут: http://hh.ru/vacancy/10372068
Отдельно выделю задачу «SSDL аннигилятора», специалиста по внедрению процессов управления безопасностью в разработке. Если от слов SAMM, BSIMM, SDLC, Agile, DevOps у вас не болят зубы, а наоборот, загораются глаза – добро пожаловать к нам в коллектив.
Подробнее: http://hh.ru/vacancy/10372537

PS. По просьбе коллег из Центра Кибербезопасности ОАО «РЖД»

Центру требуются эксперты для проведения и сопровождения работ по анализу защищенности микропроцессорных систем управления железнодорожным транспортом (станции, локомотивы.  электропитание) и систем связи.
Обязательны практические навыки анализа защищенности информационных систем, управления проектами, взаимодействия с подрядчиками.
Желателен опыт или понимание систем АСУ, а также профильное образование (МИИТ, ПГУПС и т.п.)

Контакты: Колесников Артур Георгиевич, A.Kolesnikov@vniias.ru 

PPS. Картинка заимствованна, активная ссылка оставлена для юмора. 

четверг, 10 апреля 2014 г.

CVE-2014-0160: красное или желтое?

В кулуарах возник вопрос о том, что различные источники по разному оценивают степень риска, связанно с уязвимостью в OpenSSL.

Давайте попробуем посчитать сами.



Формально, по CVSS, степень риска – средняя. Однако для ряда сервисов – например публичных Web-сайтов – степень риска вполне себе критическая, поскольку с помощью уязвимости можно увести пароли  и потом влиять не только «чуть-чуть на конфиденциальность» как в CVSS, а устроить полный кибермагидец всему CIA. Это естественно сказывается на оценке, ведь именно Impact Metrics в данном случае дает невысокую оценку.


Проблема (точнее не проблема, а понятное ограничение) CVSS и подобных оценок, то что они не рассматривают уязвимость применительно к конкретной системе и не рассматривают «второй хоп» эксплуатации, т.е. уязвимости, возникающие в результате успешной атаки. Это в принципе правильно, поскольку все это носит вероятностную оценку, надо строить граф атаки и т.д. Но иногда, при применении «в лоб» может запутать неспециалиста.

С подобной ситуацией я сталкивался когда при разработке WASC TCv2 пытались сделать «шкалу рисков» для Web-уязвимостей. Очень непросто, поскольку для оценки не уязвимости, а потенциального риска для системы надо учитывать контекст, т.е. к чему может привести данная конкретная SQLi или XSS. Согласитесь, что XSS на основной странице Яндекса или на никогда не используемом Web-HMI системы АСУ ТП, через которую только alert получишь – совершенно разные вещи.
В результате мы долго использовали «worst case scenario» (http://www.ptsecurity.ru/download/analitika_web.pdf, стр 32), но сейчас пересматриваем и этот подход.

Таким образом ответ: формально уязвимость – среднего уровня риска, однако для систем передающих важную информацию небольших объемов (пароли, номера кред и проч) эксплуатация уязвимости может привести к получению данных, использование которых может привести к полной компрометации системы или существенным финансовым потерям, в связи с чем иногда полезно повышать степень ее риска до критической.


среда, 9 апреля 2014 г.

Немного SCADA 0-day морозным весенним утром

Недавно Siemens выстрелил дуплетом патчей для PLC линейки SIMATIC S7. Уязвимости были закрыты в "игрушечных" контроллерах S7 1200 и S7 1500.
Ряд уязвимостей был обнаружен ребятами из Positive Technologis Yury Goltsev, Ilya KarpovAlexey OsipovDmitry Serebryannikov и Alex Timorin., подробности тут:

http://scadastrangelove.blogspot.ru/search/label/PLC

Наиболее интересными среди обнаруженных кажется CVE-2014-2251 aka CVE-2014-2250 позволяющая обходить авторизацию на интерфейсах управления и ряд проблем с обработкой пакетов индустриальных протоколов, устранение самой исторической из них заняло почти год.

Надо отдать должное, Siemens значительно поработал над функциями безопасности в новой линейке S7 1500, но их реализация требует некоторой "доработки напильником".

Ruscrypto: Cheers!

Незаметно подкралась весна, а с ней и конференция Рускрипто.

Лично мне очень понравились секции

Технологии создания безопасного ПО
Продукты и технологии информационной безопасности
Кибербезопасность

Секция Безопасность современных информационных технологий заслуживала внимания хотя бы из-за таких заголовков как "Адаптивная обманная система для рефлексивного управления злоумышленником".

Когда я прочитал в пресс-релизе про "круглый стол «Подлинная безопасность, разговор на троих», участником которого станет Сергей Гордейчик, заместитель генерального директора Positive Technologies. Сергей обсудит с другими известными российскими экспертами — старшим исследователем Digital Security Олегом Купреевым и заместителем генерального директора компании «Перспективный мониторинг» Алексеем Качалиным — вопросы комплексного обеспечения информационной безопасности — сложной, многоаспектной задачи. Участники дискуссии расскажут о своих подходах к ее решению" у меня свело скулы и мы  решили как-то оживить дискуссию. Стопка текилы за каждый заданный вопрос поначалу казалась смелой идеей, но потом... В общем дискуссия оказалась настолько живой, что никто из участников не решился опубликовать свои презентации.

Модерируемая мной секция "Безопасность интернета вещей" прошла, к сожалению без моего участия - был срочно вызван в город. Но по заверениям докладчиков и участников - все было отлично. Более того Алексей Качалин вызвался подновить и повторить ее на PHDays. Ждем!
Из "наших" на секции выступил Артем с темой "Слишком Smart Grid в облаках". Звучит интригующе, передаю слово автору:



«Вслед за солнечными и ветряными электростанциями, которыми покрылась почти вся Европа (25% энергетики Дании — это ветрогенераторы), очень быстро вырос сегмент "умных" сетей электроснабжения, так называемых Smart Grid, — говорит Артем Чайкин. — Подобные системы позволяют гораздо эффективнее расходовать электроэнергию, решать проблемы ее доступности и недостатка информации о потреблении с помощью автоматического или ручного контроля. Однако интеллектуальные энергосети обычно подключены к интернету и имеют очень много уязвимостей. Обнаружив консоль Smart Grid в интернете, злоумышленник может обойти авторизацию (иногда и она не требуется), завладеть доступом к управлению параметрами системы, обновить прошивку, проникнуть в другие сегменты сети. Сейчас эти технологии оттачиваются на пользователях "интеллектуальных домов" или малых офисов, но когда начнется массовый перевод "в облака" сетей электроснабжения критически важных объектов, это повлечет за собой риски, сравнимые с уязвимостями SCADA-систем».

Ух, жуть берет. Обязательно на PHDays послушаю.

В целом, конференция в очередной раз подтвердила свой высокий уровень, чему я несказанно рад. Рекомендую.

Фотоотчет:

https://www.facebook.com/media/set/?set=oa.697327793657110 

https://www.facebook.com/media/set/?set=oa.697324306990792

Презентации докладов:
http://www.ruscrypto.ru/accotiation/archive/rc2014/