В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Ключевой темой шестого форума стало противостояние между хакерами и безопасниками в условиях, максимально приближенных к реальным.
На площадке форума развернулась масштабная эмуляция городской инфраструктуры – целый мегаполис с работающими банком, телеком-оператором, электроэнергетической компанией (распределительная и магистральная подстанции, гидроэлектростанция, центральный и региональный диспетчерские пункты), а также "умным" домом.
"Оценивая итоги 2015 года, нужно с сожалением констатировать ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях", – отмечает Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.
Наиболее актуальными ИБ-тенденциями года, по версии Positive Research 2016, стали:
Актуальность вышеперечисленных трендов доказал не только представленный отчет, но и "боевые действия", развернувшиеся на PHDays VI. В течение двух дней на форуме можно было наблюдать, как затапливают город, расположившийся рядом с ГЭС, перехватывают управление системами автомобиля, отключают вентиляцию и лифты в "умном" доме, взламывают сотовую связь и выводят деньги из интернет-банкинга. Все условия были максимально приближены к реальным.
На стендах EAST 4 SCADA и CIA: Blackout очень наглядно воссоздавались объекты городской инфраструктуры. Несмотря на внешнюю "игрушечность", софт был самый настоящий.
Всем желающим проверить свои силы в атаке на АСУ ТП предлагалось найти уязвимости и пустить под откос уже известный многим завсегдатаям PHDays поезд. Или же атаковать модель системы электроснабжения небольшого района. Здесь вариативность атак гораздо шире: нарушение нормальной работы общей системы электроэнергетики, воздействие на региональный пункт систем диспетчеризации и управления энергосистемой, на центральную диспетчерскую, отключение передачи электроэнергии на гидроэлектростанцию и, как кульминация, – превращение резервуара с ГЭС (и городом неподалеку) в аквариум.
Невысокий уровень защищенности компонентов АСУ ТП уже не раз отмечался экспертами по информационной безопасности. Однако то, что десятикласснику удалось обойти защиту промышленных протоколов и спровоцировать короткое замыкание на магистральной подстанции высокого напряжения (500 кВ), пожалуй, должно подтолкнуть производителей уделять большее внимание вопросам ИБ и своевременно выпускать обновления. "Необходимо как минимум использовать средства пассивного мониторинга ИБ производственного оборудования, позволяющие оперативно обнаружить действия злоумышленников и реагировать на них, – и такое внедрение не должно влиять на работу технологических процессов", – отмечает Олег Матыков, руководитель направления безопасности приложений Positive Technologies.
Прямо в холле, напротив стойки регистрации, проходил конкурс CAR4ALL. В ходе него предлагалось взломать автомобиль BMW М5: отключить сигнализацию, открыть двери без ключа, завести двигатель.
В ходе демонстрации с ноутбука заводили двигатель машины, разблокировали двери, опускали стекла, включали фары. Страшно представить состояние водителя, попавшего в такую ситуацию в реальной жизни на трассе.
Выражение "мой дом – моя крепость" уже мало соответствует действительности. Участники соревнования BMS & Smart House Attack продемонстрировали это, отключив систему освещения, счетчики воды, лифт и вентиляцию интеллектуального дома.
Оба эти конкурса хорошо проиллюстрировали, насколько еще небезопасен IoT и чему стоит уделить внимание компаниям, предлагающим соответствующие решения по безопасности.
Не теряет популярности среди хакеров и финансовая отрасль – здесь минимум "человеческих жертв" и прибыль сразу.
Согласно исследованию Positive Technologies, приложения для онлайн-платежей – излюбленная мишень киберпреступников. В 90% систем ДБО были найдены критически опасные уязвимости. В половине случаев механизмы двухфакторной аутентификации отсутствовали или были реализованы некорректно. 43% мобильных банковских приложений хранили данные в памяти устройств в незашифрованном виде, а треть (29%) использовала незащищенные протоколы для беспроводной передачи трафика. Мобильные кошельки на iOS оказались существенно безопаснее Android-аналогов – серьезные уязвимости содержали 33% и 75% приложений соответственно.
Организаторы PHDays VI проверили посетителей на "жадность", предоставив им возможность найти и использовать уязвимости банковских систем с целью несанкционированного вывода денежных средств (призовой фонд 40 000 руб.) в рамках конкурса "Большой куш".
Зона покрытия сотовой связи увеличивается с каждым годом. Мобильная связь для жителей городов уже давно не роскошь, а полноценный инструмент ведения бизнеса и повседневной жизни. На любом современном телефоне мы найдем как банковские приложения и рабочую почту, так и приложения интернет-магазинов и мессенджеров. Повсеместная распространенность смартфонов, пожалуй, только добавляет проблем: с их помощью рискованно не только оплачивать покупки, но даже разговаривать и переписываться. В числе угроз – подделка мобильных переводов через USSD, кража денег через SMS-банкинг, получение доступа к электронным кошелькам и атаки на инфраструктуру.
Согласно данным Positive Research, в 89% случаев можно перехватить входящее SMS-сообщение, в 58% – определить местоположение абонента, а в 50% – прослушать звонок.
Все, кто сомневался в легкости перехвата SMS- и USSD-сообщений или клонирования абонента, смогли попробовать это на практике под руководством экспертов Positive Technologies Артура Гарипова и Павла Новикова.
Дроны из забавных игрушек постепенно превращаются в отдельную "боевую единицу".
Сейчас их все больше используют журналисты для того, чтобы снимать репортажи, а отдельные энтузиасты снимают фильмы с высоты птичьего полета. Но прогресс не стоит на месте, и в скором времени нас уже ждут дроны-курьеры, полицейские и спасательные дроны. Согласно прогнозам, стоимость одного такого полицейского может доходить до $30 тысяч. И недостаточная его защита чревата огромными финансовыми потерями. В конкурсе Drone Quest любой желающий мог стать счастливым обладателям квадрокоптера, если, конечно, сумел перехватить управление.
В рамках деловой программы Positive Hack Days эксперты обсудили актуальные вопросы ИБ: безопасность критически важных информационных систем, противодействие мошенничеству, киберпреступность и расследование инцидентов, кибервойна и кибершпионаж, защита облачных вычислений и виртуальной инфраструктуры, противодействие атакам нулевого дня, защита от DDoS, безопасность АСУ ТП (SCADA), защита бизнес-приложений и ERP, безопасность сетей связи.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2016