Дайджест информационной безопасности № 143 за период с 6 по 17 августа 2018 года

Новости законодательства

  • Банк России назвал перечень угроз информационной безопасности, которые банки должны будут учитывать при сборе, использовании и передаче биометрических персональных данных своих клиентов. Перечень приведен в указании, которое зарегистрировано Министерством юстиции и публикуется на сайте регулятора. Данными угрозами являются нарушения целостности (подмена, удаление), доступности (блокирование передачи) и конфиденциальности биометрической информации о клиентах.
  • Совет по развитию цифровой экономики при Совете федерации предложил законодательно закрепить в России принцип сетевой нейтральности. По информации собеседников издания, проект доработают в ближайшие недели и направят в правительство. Принцип сетевого нейтралитета предполагает, что провайдеры должны предоставлять трафик с любых ресурсов без искусственного замедления или приоритета — вне зависимости от наличия или отсутствия партнерских программ.
  • Минкомсвязи предложило внести изменения в закон «Об информации», дополнив список оснований для досудебной блокировки интернет-сайтов «обоснованием и оправданием экстремистской и (или) террористической деятельности». Проект изменений опубликован на сайте проектов нормативных актов. Как поясняют эксперты, оправданием терроризма является публичное признание этой идеологии и практики правильными.
  • Министерство экономического развития (МЭР) опубликовало на портале проектов нормативных актов отрицательное заключение на правила хранения данных пользователей для исполнения «закона Яровой». Как следует из документа, правила противоречат действующему законодательству и содержат невыполнимые или трудноисполнимые с технической точки зрения требования. По словам представителей МЭР, исполнение данных правил требует значительных затрат.

Новости ИБ

  • Специалисты обнаружили в медицинском оборудовании компании MedTronic ряд опасных проблем, некоторые из которых можно эксплуатировать удаленно. Исследователи уверяют, что эти уязвимости могут представлять опасность для здоровья и жизни людей, однако представители MedTronic реагировали на предупреждения экспертов очень медленно, а в итоге вообще отказались исправлять ряд багов из-за «низкого риска» потенциальных атак.
  • БРИКС, группа из пяти стран, в которую входят Бразилия, Россия, Индия, Китай, Южно-Африканская Республика, создаст общую объединенную киберполицию. Это поможет обеспечить коллективную информационную безопасность этих стран, предотвратить кибертерроризм, целевые атаки и информационные войны.
  • Обнаружен новый метод, позволяющий легко получить идентификатор парного мастер ключа (PMKID) с маршрутизатора с использованием шифрования WPA/WPA2, который затем может быть использован для взлома беспроводного пароля маршрутизатора. По словам специалиста, метод будет работать практически со всеми маршрутизаторами, использующими сети 802.11i/p/q/r с включенным роумингом.
  • Корпорация IBM обнаружила 17 уязвимостей нулевого дня (0-day) в системах умных городов, разработанные Libelium, Echelon и Battelle. Свои выводы команда исследователей X-Force Red продемонстрировала на конференции Black Hat, проходящей в Лас-Вегасе. Восемь из 17 обнаруженных уязвимостей имеют статус критических проблем безопасности. Большинство этих брешей обусловлены слабыми практиками безопасности — например, использованием паролей по умолчанию, возможностью обхода аутентификации и SQL-инъекции.
  • В России разработают специальные компьютеры особого назначения, которые будут защищать секретные данные от утечек. Сборкой этих машин займется холдинг «Росэлектроника», все производство решили развернуть на мощностях петербургского НПО «Импульс». Согласно техзаданию, собираемые компьютеры должны соответствовать требованиям Федеральной службы по техническому и экспортному контролю.
  • Эксперты «Лаборатории Касперского» сообщили, что зафиксировали повторную атаку на сайт одного из известных российских СМИ (название ресурса не раскрывается). Ее результатом стало размещение на всех страницах сайта вредоносного кода, который перенаправляет посетителей на лендинг эксплоит-пака.
  • VMware выпустила обновления безопасности для устранения уязвимости в Horizon 6, 7 и Horizon Client для Windows. Злоумышленник может воспользоваться этой уязвимостью для получения конфиденциальной информации. NCCIC рекомендует пользователям и администраторам ознакомиться с VMware Security Advisory VMSA-2018-0019 и применить необходимые обновления.
  • Исследователи в области безопасности предупреждают о серьезной ошибке в ядре Linux версии 4,9 и выше. Эта уязвимость может быть использована для осуществления DoS-атак, которые могут привести к сбою в работе систем и отказу в обслуживании. Об ошибке сообщили специалисты Университета Карнеги — Меллон.
  • ФБР предупредило банки о готовящейся глобальной вредоносной кибероперации под названием «ATM cash-out». В ходе этой операции злоумышленники будут взламывать кредитные организации или обработчики платежей, а также использовать клонированные карты для обналичивания огромного количество денежных средств в банкоматах, установленных по всему миру.
  • Основные объекты американской инфраструктуры уязвимы перед киберугрозами. Такая информация содержится в отчёте Счётной палаты США. В документе отмечается, что, несмотря на существующие угрозы, ведомства не следуют рекомендациям палаты по устранению недостатков в сфере кибербезопасности. Среди объектов, наиболее подверженных риску хакерских атак, названы электросети Соединённых Штатов, морские порты, газо- и нефтепроводы.

Интересные посты русскоязычных блогов по ИБ

  • Компания Перспективный мониторинг посвятила блог теме машинного обучения и искусственного интеллекта (AI) в безопасности. В статье говорится о том, почему машинное обучение пока не стало «волшебной пилюлей» и пока не может заменить команду пентестеров. В статье приведены варианты использования машинного обучения для успешных тестов на проникновение или анализа защищённости.
  • Специалисты компании Cybereason развернули приманку в виде IT-инфраструктуры электроподстанции. Киберпреступники взломали ловушку исследователей через два дня, а уже через неделю пытались продать доступ к системе на одном из форумов дарквеба. Исследователи проследили все этапы атаки и пришли к выводу, что критически важные энергетические объекты интересуют не только хакеров на службе у государства, но и обычных мошенников в Интернете.
  • Сергей Борисов осветил проблему безопасности использования облачных хранилищ файлов и документов Google Drive, Yandex Disk, Microsoft OneDrive. Автор рассказал, какие последствия безопасности влечет за собой способ поделиться файлом как “доступ по ссылке” и продемонстрировал доступность документов на GoogleDocs через поисковые системы Yandex и Google. Следствием этого могут стать нарушение законодательства РФ, утечки ценной информации, недовольство клиентов.

Интересные посты англоязычных блогов по ИБ

  • Индикаторы компрометации (Indicators of compromise, IoCs) являются доказательствами нарушения безопасности. Они включают в себя IP-адрес, хэш-значение вредоносного ПО, вредоносный URL и домены и т. д. В данной статье рассмотрен такой индикатор атаки как несоответствующий порт трафика (Mismatch Port – Application Traffic), который является одним из 15 лучших по мнению исследователей безопасности и часто наблюдается в инцидентах безопасности.
  • Преподаватель InfoSec Institute и главный консультант компании KM Cyber Security обсудили в подкасте шаги, необходимые для получения квалификации специалиста по реагированию на инциденты. В частности, они затронули следующие вопросы: 1. ежедневные задачи специалиста реагирования; 2. необходимая сертификация для данной должности; 3. много ли компаний держат штатного эксперта по реагированию или это в основном контрактная работа; 4. основные ошибки начинающих специалистов; 5. что можно сделать уже сегодня, чтобы приблизиться к этой профессии.
  • Эксперт и преподаватель SANS Institute Lenny Zeltser проанализировал стратегию и развитие Microsoft Endpoint Security. Подход корпорации Microsoft к защите конечных точек, по мнению автора, преследует следующие 3 цели: защитить ОС с помощью базовых мер безопасности, побудить других производителей к инновациям и увеличить доход от корпоративных клиентов. Компания разработала блоки, которые начинают напоминать функции коммерческих продуктов Endpoint Protection Platform (EPP). Автор описал какие недостатки существуют у данного  решения.
  • Международная организация по стандартизации (ISO) недавно выпустила обновленную версию своих руководящих принципов управления рисками безопасности ISO/IEC 27005:2018. По словам разработчика документов, ISO 27005 дает ответ на вопрос «почему, что и как» нужно делать для эффективного управления рисками ИБ в организациях в соответствии с ISO/IEC 27001. В статье приведены несколько способов эффективного применения ISO 27005:2018 руководителями направления кибербезопасности и другими заинтересованными сторонами в организации.

Исследования и аналитика

  • Актуальная технология корпоративного единого входа (Enterprise Single Sign-on, ESSO) подразумевает установку агента на рабочие станции пользователей, что обеспечивает автоматическую подстановку логина и пароля пользователя. В свежем обзоре на Anti-Malware рассказывается о том, как работает технология ESSO, какими решениями она представлена на российском и мировом рынке и рассмотрены особо заметные игроки в данном сегменте.
  • «Лаборатория Касперского» выпустила отчет по спаму и фишингу во 2 квартале 2018 года. Процент уникальных атакованных пользователей составил 9,6% от общего количества пользователей продуктов «Лаборатории Касперского» в мире. В этом квартале мошенники активно эксплуатировали темы GDPR, чемпионата мира по футболу и криптовалют, а ссылки на вредоносные страницы можно было встретить в социальных сетях и мессенджерах (причем часто распространяли их сами пользователи), а также в рекламных сообщениях в поисковой выдаче крупных поисковых систем.
  • «Лаборатория Касперского» представила отчет о развитии информационных угроз во втором квартале 2018 года. В отчете представлены целевые атаки и кампании с использованием вредоносного ПО, в том числе червь Olympic Destroyer, мобильный банкер Roaming Mantis, шпионская кампания Operation Parliament, вымогатель SynAck и другие.
  • Согласно отчету «Развитие информационных угроз во втором квартале 2018 года. Статистика», «Лаборатория Касперского» выявила более 61 тыс. установочных пакетов мобильных банковских троянов во втором квартале 2018 г. Это число более чем в три раза превосходит показатель за предыдущий квартал. В первую тройку стран с наибольшей долей пользователей, атакованных мобильными банковскими троянами за отчётный период, вошли США (0,79%), Россия (0,7%) и Польша (0,28%). Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам были отражены на компьютерах 215 762 пользователей, атаки шифровальщиков отражены на компьютерах 158 921 уникального пользователя.
  • Вирусная лаборатория ESET представила отчет о вредоносных программах для мобильных устройств. Россия вошла в топ-3 стран с максимальным числом обнаружений Android-угроз. В ESET изучили статистику срабатываний антивирусных продуктов ESET NOD32 при обнаружении вредоносных программ для Android. В первом полугодии 2018 года большинство «пойманных» угроз пришлось на Иран (16%), Россию (14%) и Уганду (8%).
  • Продвинутые угрозы могут скрываться месяцами, и чем дольше они распространяются в сети, тем больший ущерб они могут нанести. На самом деле, отчет IBM 2018 Threat Hunting Report показал, что обнаружение передовых, неизвестных и новых угроз является наиболее серьезной проблемой, стоящей перед SOC (Security Оperations Сenter) сегодня.
  • По данным финской компании F-Secure, спам по-прежнему является одним из основных векторов кибератак и демонстрирует лучшие результаты, нежели другие способы кибератак. В первом полугодии текущего года более 14% получателей открывали письма злоумышленников, что на 1% больше, чем во второй половине 2017-го. Аналитики подсчитали, что в 46% подобных писем авторы используют методы социальной инженерии, еще 23% сообщений содержат вредоносные вложения, а 31% — адреса мошеннических сайтов.
  • Компания Finn Partners Research опубликовала результаты исследования Cybersecurity at Work, в котором изучался уровень риска, создаваемый сотрудниками для своих организаций. Эксперты назвали обучение кибербезопасности нечастым и непоследовательным. Только 25% сотрудников сообщили о ежемесячном прохождении инструктажей по кибербезопасности и своевременном обновлении программного обеспечения. Несмотря на это, 94% сотрудников считают, что они делают все возможное, чтобы обеспечить безопасность данных своей компании.
  • Необычно большой объем вредоносной внутренней разведки и поступательного движения наблюдается в обрабатывающей промышленности, что, по мнению экспертов, является результатом быстрого сближения информационных и операционных систем. Согласно отчету компании Vectra «The increased risk of cyberattacks against manufacturing organizations», отрасль производства стоит на третьем месте по количеству обнаруженных угроз после секторов образования и энергетики.
  • Отчет NETSCOUT Arbor «NETSCOUT Threat Intelligence report» показал, что в первом полугодии 2018 наблюдалось в семь раз больше DDoS-атак, мощностью более 300 Гбит/с, по сравнению с первой половиной 2017 года. Средний размер DDoS-атаки вырос на 174%, однако общая частота атак снизилась на 13%. Число атак увеличилось на 37% с момента появления memcached. С марта по июнь 2018 года число уязвимых и доступных серверов memcached сократилось с 17 000 до 550.
  • Проведя опрос среди ИБ-специалистов из США, Великобритании, Германии, Австралии и Сингапура, компания Malwarebytes пришла к выводу, что примерно 5% ИБ-сотрудников являются «серыми хакерами», то есть иногда нарушают правовые и этические нормы или занимаются вредоносной деятельностью в свободное время. В частности, 63% опрошенных оценивают киберпреступную деятельность как более прибыльную, а 34% участников исследования не считают ее чем-то зазорным.
  • Согласно отчету Check Point, хакеры могут проникать в компьютерные сети, используя незащищенность аппаратов факсимильной связи. Отчет касается уязвимых мест комплексного принтера Hewlett Packard. Киберэксперты рассылали прямо по телефонной линии вредоносный код в виде файла-картинки, предназначенного для распечатки. При декодировании файл сохранялся в памяти принтера, что позволяло установить контроль над подключенным к нему компьютером, а затем над всей сетью.

Громкие инциденты ИБ

  • Неизвестный хакер взломал аккаунт служащей ВВС Великобритании в приложении для знакомств Tinder, чтобы получить информацию об американском истребителе-бомбардировщике F-35 Lightning II. Получив доступ к данным женщины, он связался с ее сослуживцем и завел разговор от ее имени о новом истребителе.
  • На Тайване из-за хакерской атаки была остановлена работа нескольких предприятий по производству смартфонов Apple. По данным издания Bloomberg, хакеры атаковали предприятия вирусом WannaCry 3 августа, восстановить работу заводы смогли только спустя три дня.
  • Киберпреступники научились красть банковские реквизиты пользователей с помощью взлома маршрутизаторов. При этом ничего не подозревающие пользователи переходили на поддельные сайты финансовых организаций, а уже после этого они выдавали свои учетные данные. Как уточняется в исследовании компании Radware, такая уязвимость была замечена на аппаратах фирмы DLink. По данным издания, атаки затронули два бразильских банка — Itau Unibanco и Banco de Brasil.
  • Эксперты «Лаборатории Касперского» обнаружили серию фишинговых атак, построенных на ПО для удаленного доступа к компьютерам. Преступники охотятся за деньгами на счетах промышленных организаций. По информации Kaspersky Lab ICS CERT, атаки идут уже девять месяцев и поразили около 800 компьютеров в 400 российских производственных, добывающих и металлургических предприятиях.
  • Атака на информационную систему государственных органов Финляндии была зафиксирована вечером 12 августа. Действия хакеров были направлены на услуги, предоставляемые Государственным центром информационных и коммуникационных технологий. Сбои произошли в работе сайтов нескольких министерств, Сил обороны и Центра регистрации населения.
  • В Instagram зафиксирована масштабная хакерская атака — тысячи людей потеряли доступ к своим аккаунтам. Вероятность того, что это именно спланированная операция, довольно высока, так как в каждом отдельном инциденте наблюдаются схожие черты — замена логина и аватарки, удаление биографии и новый e-mail-адрес в зоне .ru.

Обзор событий предстоящих недель 20.08 – 31.08

Посетить

Послушать

Поделиться записью: