Сказки о безопасности: Морской перехват

19/10/2017

В столичную полицию поступило странное заявление. Компания А, транспортный перевозчик, чей сухогруз не так давно столкнулся с транспортным судном компании В, попросила исследовать компьютерную систему управления сухогрузом. Причиной для этого послужило письмо, полученное генеральным директором фирмы. В письме говорилось, что причиной столкновения сухогруза стал перехват управления судном.

— Иоганн, ваши сотрудники никогда не управляли кораблями?

— Нет, вроде бы, господин комиссар! А что? Пора?

— Увы, кажется пора.

— А если серьезно?

— А если серьезно, то надо проверить компьютерную систему сухогруза «Глория» компании А. Есть подозрение, что она взломана. Именно это и послужило причиной столкновения сухогруза.

— Да-а-а-а, вы задали нам задачу. Ну что ж, попробуем.

— Карл, Марк! Вашим подчиненным и вам придется поработать моряками.

— Шеф, вы смеетесь или издеваетесь?

— Я абсолютно серьезен. Сухогруз «Глория» находится в доке. Вам придется выяснить, была ли взломана его ИТ-система, и по возможности найти, кем. Причем «кем» это последний вопрос. Гораздо важнее, если взлом все же был, сделать так, чтобы он не повторился на других судах.

Прошло две недели.

— Иоганн, все гораздо хуже, чем мы думали. В ИТ-системе корабля масса уязвимостей. Слабые пароли, легкодоступные спутниковые антенны, ошибки конфигурации, которые можно идентифицировать, проведя простой поиск. Мало того, мы получили полный список экипажа. А ведь все это можно использовать для фишинговых атак, узнав больше о членах экипажа в социальных сетях.

— Весело, однако.

— Мало того, мы получили доступ к оборудованию спутниковой связи, которое содержит данные о местоположении, информацию, связанную с грузом, и многое другое.

— Ваш вывод?

— Вывод прост. ИТ-система однозначно взломана. Но это еще не все. Ведь таких судов масса. ИТ-системы на них построены достаточно давно, когда о информационной безопасности никто не задумывался. Нужно проводить проверку всех судов.

— Но это нереально.

— Увы, да. Но пора хотя бы говорить об этом.

Увы, такая история совсем не фантастика. На конференции в Афинах исследователь Мунро показал, как можно провести атаку на судно. Мы готовы к такому? Думаю что нет.

https://www.itweek.ru/security/article/detail.php?ID=198305

Реклама

И снова утечка через Amazon S3

18/10/2017

В конце прошлого месяца в Интернет были обнаружены результаты лабораторных исследований и прочие данные пациентов. Всего порядка 150 000 пострадавших.

И снова Amazon S3. Записи были обнаружены специалистами Kromtech Security Center. Согласно Kromtech файлы были общедоступными и не защищены паролем. В частности, беглый анализ содержимого выявил имена, адреса, номера телефонов, диагнозы и результаты тестов.

Эти данные связывают с медицинской компанией Patient Home Monitoring Corporation (PHM), представляющей услуги по мониторингу и профилактике заболеваний на дому. В результате утечки злоумышленники получили доступ к 316 000 PDF-файлов, объем которых составил порядка 47,5 Гб данных.

Этот репозитарий Amazon был неправильно настроен, доступ к конфиденциальным медицинским данным мог получить кто угодно.

Увы, как и в большинстве нарушений, связанных с серверами Amazon, непонятно, как давно был открыт доступ к файлам и когда именно произошла утечка (и была ли она вообще). Большинство записей связаны с тестами, проводимыми этим летом.

Ну и скажите, как после этого доверять собственным ИТ? Мне кажется, что мы с вами сегодня наблюдаем общее падение уровня специалистов. В данном случае выложили данные и забыли. Именно поэтому, как и в предыдущем случае нужно проводить инвентаризацию данных. Смотреть где лежат данные, что там лежит, кому это все доступно. Все это и называется discovery.

Автор: Владимир Безмалый

https://www.devicelock.com/ru/blog/3040.html

 


Accenture, вы верите вашему облаку?

18/10/2017

Консалтинговая компания Accenture (штат порядка 380 тыс. сотрудников), оказывающая услуги организациям по консультированию в сферах стратегического планирования, оптимизации и организации аутсорсинга бизнес-процессов, управления взаимоотношениями с клиентами, управления логистическими процессами, управления персоналом, внедрения информационных технологий оставила четыре своих сервера практически полностью незащищенными. На серверах хранились конфиденциальные данные, данные аутентификации, сертификаты, ключи расшифровки, информация о клиентах, а также большое количество других данных, которые можно использовать чтобы атаковать как саму компанию, так и тысячи клиентов по всему миру.

Один из наборов данных (порядка 137 гигабайт) содержал дампы, включающие учетные данные клиентов. В том числе почти 40 000 незашифрованных паролей, представленных в резервной копии.

Кроме того, похищенными оказались несколько часов экранного видео, показывающего регистрацию внутренних сотрудников компании в различных системах. На видео также содержатся электронные письма и пароли к электронной почте.

Возникает ряд вопросов, первых из которых – почему резервные копии оказались не зашифрованными? Почему там хранятся пароли в открытом виде? Почему не проводился контроль (инвентаризация) данных, хранящихся в облачных сервисах? Ведь с такой задачей уже давно справляются решения класса Data Discovery.

Боюсь на эти и множество других вопросов мы так и не узнаем ответ. Но надеюсь, что у вас на эти вопросы в вашей организации уже ответили. Если нет – вы следующие! Задумайтесь!

Автор: Владимир Безмалый

https://www.devicelock.com/ru/blog/ru/blog/3038.html


Сказки о безопасности: Смартфон для внука

18/10/2017

С утра Потапыч решил, что у него сегодня наконец-то более-менее спокойный день и он сможет заняться отчетами за месяц. Но, приехав на работу, он понял, что все не так легко и просто. Его директор решил подарить своему внуку смартфон. Решил — подарил. Но что-то пошло не так. Смартфон слишком быстро разряжался.

— Потапыч, погляди, пожалуйста. Что-то тут не так. Ну не может он так разряжаться. Да и трафик расходует, хотя внук клянется, что не использует Интернет так уж часто.

— Хорошо, Михал Михалыч, погляжу. Но придется вам его оставить на пару дней.

— Конечно.

— А вообще-то я рекомендовал бы проверить все смартфоны вашей семьи. Просто на всякий случай.

Прошло три дня.

— Вот ваш смартфон. Где вы его покупали?

— Да в магазине возле дома. Вроде и сеть крупная. А что с ним не так?

— Судя по всему, производитель встроил в программную прошивку телефона сбор данных о владельце. Мы кое-что увидели сами, а потом я в Интернете прочел.

— Что?

— Компания-производитель смартфона призналась, что собирает целый комплекс данных о владельцах своей продукции. Но самое страшное, что информацию собирают не анонимно, а с привязкой к конкретному человеку. Кроме того, стоит отметить, что полностью выключить слежку на нем невозможно.

— Даже так?

— Увы, да. Потому мой совет — верните его обратно и купите что-то иное.

Компания OnePlus, выпускающая одноименные смартфоны, призналась, что собирает целый комплекс данных о владельцах своей продукции, а именно: список контактов, MAC-адреса, данные Wi-Fi, IMEI-номера и прочее.

http://www.itweek.ru/themes/detail.php?ID=198281

 


Сказки о безопасности: Дистанционная блокировка

16/10/2017

Утро в столице империи началось с воя полицейских сирен. Ограблен столичный банк N. Бандиты уехали на новенькой БНД-380. Преследовавшая их полицейская машина была расстреляна из автоматического оружия. Проблема была в том, что устраивать «догонялки» полицейские не хотели, боясь, что при этом пострадают мирные граждане. Как быть?

— Иоганн, вам звонит комиссар полиции. Просит найти вас очень срочно.

— Соединяйте! И приготовьте кофе, пожалуйста. И себе тоже.

— Иоганн, у нас проблема, огромная проблема. Мы преследуем грабителей. Но проблема в том, что эти гонки могут привести к ущербу, а может и жертвам среди мирных жителей. Что делать?

— Какая машина у грабителей?

— БНД-380 последней модели. Гораздо мощнее наших авто.

— Государственный номер настоящий?

— Да!

— Отлично. Пробейте VIN через ваши каналы. Срочно! Дальше в дело пойдут наши ребята.

— Через пять минут я вам перезвоню.

— Хорошо!

— Иоганн, вот все, что вы просили.

— Курт, вот VIN. Заглушите двигатель на авто и заблокируйте двери. СРОЧНО!

— Минута, шеф!

Через пять минут грабители были задержаны.

— Иоганн, я не могу понять, как ваши люди сумели нам помочь?

— Все просто, господин комиссар! Мы по номеру получили доступ к автомобилю и заглушили двигатель. А чтобы вашим ребятам было удобно, заблокировали им окна и двери. Удаленно. Через Интернет. Это стандартная функция в такого типа авто. Ничего сверхъестественного.

Такого рода истории очень скоро станут реальностью. Все чаще автомобили управляются компьютерами. Вы к этому готовы? А полиция?

https://www.itweek.ru/security/article/detail.php?ID=198255

 


Фишинг, смишинг, вишинг

13/10/2017

Фишинг, смишинг, вишинг Windows IT Pro #10 2017


Что знает о вас облако?

13/10/2017

Что знает о вас облако? Windows IT Pro #10 2017