Как стать автором
Обновить

«Скрытые угрозы», тест по инцидентам в сфере кибербезопасности

Время на прочтение17 мин
Количество просмотров21K
Информационная безопасность — самая увлекательная и азартная сфера компьютерных технологий. В ИБ постоянно идет противоборство «меча и щита», средств атаки и защиты. Но даже самая мощная защита может быть неэффективна, если не уметь с ней обращаться. А учиться можно на громких провалах других компаний. Мы вместе с Kaspersky подготовили тест по наиболее известным факапам в сфере ИБ. Проверим, свежи ли они еще в вашей памяти.

Начать тест
Начнем с классики киберпанка. Да, той самой где боевые советские вирусы на кириллице, демобилизовавшийся дельфин-наркоман и рефлексирущий искусственный интеллект. Уильям Гибсон взял за основу молодые информационные технологии и на их основе создал мрачное будущее, которое так и не наступило. А как в его книгах назывались системы безопасности, защищавшие от хакерских атак?
Термин «Firewall» успешно закрепился за подобным ПО, но появился он чуть позже. В 80-х файерволов еще не было, а с их задачами справлялись антивирусные программы. Для систем защиты Гибсон использовал слово «лед» — от вымышленного термина Intrusion Countermeasures Electronics.
Да, «лед» и убивающий злоумышленников «черный лед» — одни из самых запоминающихся элементов из произведений Гибсона. Происходят от вымышленного термина Intrusion Countermeasures Electronics.
Это из другой оперы, в рассказе «Сожжение Хром» Chrome — криминальный авторитет, чью сеть взламывают главные герои. И ведь наверняка разработчики Google читали Гибсона... Совпадение?
А для описание систем защиты Гибсон использовал слово «лед» — от вымышленного термина Intrusion Countermeasures Electronics.
Гибсон первым описал виртуальную реальность и ввел понятие «киберпространство», но сам термин «Матрица» появился позднее. Для систем защиты Гибсон использовал слово «лед» — аббревиатура вымышленного термина Intrusion Countermeasures Electronics.
Дальше
Проверить
Узнать результат
Классика киберпанка — это очень увлекательно, но реальность гораздо интересней. В 2016 году были украдены данные 412 миллионов аккаунтов сайта для «взрослых» знакомств AdultFriendFinder (AFF). Злоумышленники воспользовались LFI — local file inclusion — на одном из серверов. А что это такое?
И это верно. Этот взлом нанес удар не только по кошельку, но и по репутации: эксперты нашли кучу аккаунтов действующих госслужащих и военных с почтами из доменов .mil и .gov, огромный перекос в сторону мужских аккаунтов, и много других интересных вещей. От «ошибки нулевого дня» не застрахован никто, но автоматические обновления и установка патчей может минимизировать риск.
Увы нет, эта ошибка Dirty COW в ядре Linux была исправлена в 2016 году.
Не угадали, утечка данных произошла из-за того, что злоумышленники с помощью специального запроса получили доступ к файлам на сервере.
Дальше
Проверить
Узнать результат
Вишенкой на торте взлома AdultFriendFinder оказалась не только БД с личными данными пользователей, но и сами пароли, которые было не так сложно восстановить из хэша. А какой алгоритм использовался для их хеширования?
Это актуальное семейство алгоритмов, которое принято на замену SHA-2 в 2012 году. Тем не мене, в AdultFriendFinder использовали гораздо более простой алгоритм SHA-1, разработанные в далеком 1995 году.
SHA-2 принят как стандарт в 2002 году. Его варианты используются в ЭЦП, майнинге, но они потенциально уязвимы и в 2012 году были заменены стандартом SHA-3. В принципе его применение для хэширования паролей оправдано, но в AdultFriendFinder использовали гораздо более простой алгоритм SHA-1.
Использование такого слабого алгоритма в таком ответственном деле, как адюльтер, удивляет: SHA-1 был разработан еще в 1995-м году и давно устарел. Из-за того, что использовался этот алгоритм, 99% паролей AdultFriendFinder можно было восстановить.
Ну нет, этот 128-битный алгоритм был разработан еще в 1992 году, а в AdultFriendFinder использовали более «современный» SHA-1 (1995 год) — который, несмотря на это, позволял восстановить 99% всех паролей. И это в то время, когда вовсю применялись более защищенные SHA-2 и SHA-3.
Дальше
Проверить
Узнать результат
В 2017 году одной из самых чувствительных утечек стал взлом кредитного бюро Equifax. Тогда были украдены личные и финансовые данные 149 миллионов американцев: дата рождения, адреса проживания, номера страховок и водительских удостоверений. Взлом Equifax имеет не только экономические последствия: в совокупности с данными из других источников он представляет собой материал для анализа с помощью AI или ML и может быть использован в шпионских целях. К утечке привела уязвимая версия Apache Struts на одном из серверов. Как думаете, сколько времени ее не обновляли?
Если бы неделя! Об уязвимости в Apache Struts стало известно 7 марта 2017 года, тогда же появился официальный патч. Автоматические системы сканирования дважды не заметили уязвимую версию и успокоились. Подозрительную активность обнаружили только через 4,5 месяца, а саму уязвимость закрыли только 29 июля. Слепое доверие системам безопасности до добра не доводит.
Все куда хуже. Об уязвимости в Apache Struts стало известно 7 марта 2017 года, тогда же появился официальный патч. Автоматические системы сканирования дважды не заметили уязвимую версию и успокоились. Подозрительную активность обнаружили только через 4,5 месяца, а саму уязвимость закрыли только 29 июля.
Почти в 2 раза дольше. Об уязвимости в Apache Struts стало известно 7 марта 2017 года, тогда же появился официальный патч. Автоматические системы сканирования дважды не заметили уязвимую версию и успокоились. Подозрительную активность обнаружили только через 4,5 месяца, а саму уязвимость закрыли только 29 июля. Все-таки нельзя слепо доверяться системам безопасности, нужно иногда за ними проверять.
Именно столько месяцев спустя обнаружили подозрительную активность на сервере. Об уязвимости в Apache Struts стало известно 7 марта 2017 года, тогда же появился официальный патч. Автоматические системы сканирования дважды не заметили уязвимую версию и успокоились. Подозрительную активность обнаружили только через 4,5 месяца, а саму уязвимость закрыли только 29 июля. О чем думали сотрудники Equifax, слепо полагаясь на автоматику, — непонятно. Для кибербезопасности 4,5 месяца — это огромный срок.
Дальше
Проверить
Узнать результат
А вот еще один кейс на скорость реагирования. В 2018 году стало известно об утечке данных клиентов отелей Marriott: данные 383 млн гостей, 8,6 млн номеров кредитных карт, 5 млн незашифрованных паролей. Как вы думаете, сколько времени длилась данная атака?
4,5 года, как вам такое? У этой истории давние корни: еще в 2014 году сеть отелей Starwood стала жертвой SQL-инъекции и отчиталась о ее закрытии. В 2016 году Marriott приобрела не только Starwood, но и дыру в системах безопасности. И только в сентябре 2018 года (через 2 года) системы защиты Marriott среагировали на несанкционированный доступ к базе данных клиентов Starwood. Тут появляется вопрос к аудиту безопасности и его качеству, который проводили (наверное) при покупке компании.
Больше, больше! История довольно старая: еще в 2014 году сеть отелей Starwood получила SQL-инъекцию, с которой вроде бы удалось справиться (на самом деле нет). В 2016 году Marriott приобрела Starwood, а вместе с ней и дыру в системах безопасности. Не прошло и 2 лет (!), как системы защиты Marriott среагировали на несанкционированный доступ к базе данных клиентов Starwood. Тут появляется вопрос к аудиту безопасности и его качеству, который проводили (наверное) при покупке компании.
Ну почти угадали, 4,5 года. В 2014 году сеть отелей Starwood стала жертвой SQL-инъекции, которая была нейтрализована (как думали в Starwood). В 2016 году сеть Starwood была куплена компанией Marriott, которой вместе с отелями досталась и дыра в ИБ. И только спустя 2 года системы защиты Marriott среагировали на несанкционированный доступ к базе данных клиентов Starwood. Тут появляется вопрос к аудиту безопасности и его качеству, который проводили (наверное) при покупке компании.
Верно! История началась еще в 2014 году, когда сеть отелей Starwood стала жертвой Sql-инъекции и отчиталась о ее закрытии. В 2016 году Marriott приобрела не только Starwood, но и дыру в системах безопасности. И только в сентябре 2018 года системы защиты Marriott среагировали на несанкционированный доступ к базе данных клиентов Starwood. Тут появляется вопрос к аудиту безопасности и его качеству, который проводили (наверное) при покупке компании.
Дальше
Проверить
Узнать результат
В этом году было несколько примеров атак на цепь поставок (Supply chain attack), когда злоумышленники действовали не напрямую, а через доверенных партнёров. Свежий пример — атака на индийского аутсорс-гиганта Wipro, чьи сотрудники имеют доступ во внутренние сети европейских и американских компаний. Через Wipro преступники внедрились к его клиентам и установили на компьютерах программу для удалённого доступа. А вы догадаетесь, какую именно?
Нет, при атаке через Wipro использовался модифицированный дистрибутив ScreenConnect. А вообще программы удаленного доступа — не только удобный инструмент для админов и сотрудников саппорта, но и дыра в безопасности: здесь и Technical support scum, когда злоумышленники представляются официальной технической поддержкой, и скомпрометированные дистрибутивы утилит для удаленного доступа. Очень часто именно активность таких программ свидетельствует о несанкционированном доступе.
Нет, при атаке через Wipro использовался модифицированный дистрибутив ScreenConnect. А вообще программы удаленного доступа — не только удобный инструмент для админов и сотрудников саппорта, но и дыра в безопасности: здесь и Technical support scum, когда злоумышленники представляются официальной технической поддержкой, и скомпрометированные дистрибутивы утилит для удаленного доступа. Очень часто именно активность таких программ свидетельствует о несанкционированном доступе.
Да, при атаке через Wipro использовался модифицированный дистрибутив ScreenConnect. А вообще софт удаленного доступа — не только удобный инструмент для админов и сотрудников саппорта, но и дыра в безопасности: здесь и Technical support scum, когда злоумышленники представляются официальной технической поддержкой, и скомпрометированные дистрибутивы утилит для удаленного доступа. Очень часто именно активность таких программ свидетельствует о несанкционированном доступе.
Нет, при атаке через Wipro использовался модифицированный дистрибутив ScreenConnect. А вообще средства удаленного доступа — не только удобный инструмент для админов и сотрудников саппорта, но и дыра в безопасности: здесь и Technical support scum, когда злоумышленники представляются официальной технической поддержкой, и скомпрометированные дистрибутивы утилит для удаленного доступа. Очень часто именно активность таких программ свидетельствует о несанкционированном доступе.
Дальше
Проверить
Узнать результат
Еще одной головной болью специалистов по безопасности являются облачные сервисы. В 2017 году в облачном хранилище Amazon была обнаружена открытая база данных 200 млн американских избирателей. Информация была бережно подготовлена и систематизирована для аналитической работы и принадлежала компании Deep Root Analitics, которая обрабатывала их по заказу Республиканской партии. Для доступа к ней было достаточно...
Да, из-за неправильной настройки прав доступа, можно было зайти на сервер, где хранилось 25 терабайт данных. Из них 1 терабайт — в открытом виде.
Нет, все было проще — к облачному хранилищу был предоставлен публичный доступ, а из 25 терабайт данных 1 ТБ хранился в открытом виде.
Нет, все было проще — облачному хранилищу был предоставлен публичный доступ, а из 25 терабайт данных 1 ТБ хранился в открытом виде.
Нет, все было проще — к облачному хранилищу был предоставлен публичный доступ, а из 25 терабайт данных 1 ТБ хранился в открытом виде.
Дальше
Проверить
Узнать результат
Даже небольшая ошибка с правами доступа может привести к неприятным последствиям. В этом году с этим столкнулась Почтовая служба США. Любой желающий мог получить доступ к данным 60 млн пользователей и информации о движении коммерческих грузов. Для этого было достаточно:
Нет, проблема была в API, с его помощью можно было повышать права любого аккаунта до корпоративного, отслеживать отправления, просматривать информацию о других аккаунтах. Избежать подобной неприятности помогут мониторинг и централизованное управление правами пользователей.
Нет, проблема была в API, с его помощью можно было повышать права любого аккаунта до корпоративного, отслеживать отправления, просматривать информацию о других аккаунтах. Избежать подобной неприятности помогут мониторинг и централизованное управление правами пользователей.
Да, через API можно было повышать права любого аккаунта до корпоративного, отслеживать отправления, просматривать информацию о других аккаунтах. Избежать подобной неприятности помогут мониторинг и централизованное управление правами пользователей.
Дальше
Проверить
Узнать результат
Человеческий фактор до сих пор остается одним из самых слабых мест в информационной безопасности. В 2016 году в этом убедился Uber, у которого украли данные 57 млн водителей и клиентов. Компания потеряла 200 млн долларов на компенсациях и получила огромный удар по репутации, когда появилась информация, что она заплатила злоумышленникам 100 000$ и целый год скрывала факт взлома. Догадайтесь, как хакеры получили доступ к учетным данным сотрудникам Uber?
Нет, два разработчика случайно опубликовали логин и пароль для входа во внутреннюю сеть Uber в коде на GitHub. Невнимательность и недобросовестность сотрудников очень сложно исключить, но можно минимизировать их последствия разграничением прав доступа и аудитом активности в сети.
Нет, два разработчика случайно опубликовали логин и пароль для входа во внутреннюю сеть Uber в коде на GitHub. Невнимательность и недобросовестность сотрудников очень сложно исключить, но можно минимизировать их последствия разграничением прав доступа и аудитом активности в сети.
Нет, два разработчика случайно опубликовали логин и пароль для входа во внутреннюю сеть Uber в коде на GitHub. Невнимательность и недобросовестность сотрудников очень сложно исключить, но можно минимизировать их последствия разграничением прав доступа и аудитом активности в сети.
Да, невнимательность и недобросовестность сотрудников очень сложно исключить, но можно минимизировать их последствия разграничением прав доступа и аудитом активности в сети.
Дальше
Проверить
Узнать результат
Киберугрозы могут быть направлены не только на информацию, но и на физическую инфраструктуру. До выжигания мозга, как у Гибсона, пока не дошли, но вот перепрограммировать работу ПЛК (программируемые логические контроллеры) вредоносное ПО сможет. А кто умел это делать:
Нет, это был Stuxnet, который перехватывал и модифицировал трафик между ПЛК и рабочими станциями SCADA. Он заразил почти тысячу урановых центрифуг и практически остановил ядерную программу в Иране.
Да, этот червь перехватывал и модифицировал трафик между ПЛК и рабочими станциями SCADA. Он заразил почти тысячу урановых центрифуг и практически остановил ядерную программу в Иране.
Нет, это был Stuxnet, который перехватывал и модифицировал трафик между ПЛК и рабочими станциями SCADA. Он заразил почти тысячу урановых центрифуг и практически остановил ядерную программу в Иране.
Нет, это был Stuxnet, который перехватывал и модифицировал трафик между ПЛК и рабочими станциями SCADA. Он заразил почти тысячу урановых центрифуг и практически остановил ядерную программу в Иране.
Дальше
Проверить
Узнать результат
Одной из возможных модификаций Stuxnet стал вирус Duqu, который правительственные эксперты не смогли расшифровать и с этой целью были вынуждены обратиться к сообществу. Как оказалось, Duqu был написан на:
Нет, эта версия не подтвердилась. Особенность Duqu в том, что он был написан на С и скомпилирован Microsoft Visual C++ с необычными настройками оптимизации.
Нет. Особенность Duqu в том, что он был написан на С и скомпилированный Microsoft Visual C++ с необычными настройками оптимизации.
Да, особенность Duqu в том, что он был написан на С и скомпилирован Microsoft Visual C++ с необычными настройками оптимизации.
Нет, это слишком хардкорный вариант. Особенность Duqu в том, что он был написан на С и скомпилирован Microsoft Visual C++ с необычными настройками.
Дальше
Проверить
Узнать результат
В 2017 году около 500 000 компьютеров подхватили вирус-шифровальщик WannaCry. Особенность вируса — в том, что он не зависел от действий пользователя и заражал все компьютеры без патча, закрывающего дыру в безопасности. Приостановить его смогли благодаря встроенному механизму отключения. А в чём он заключался?
Нет, в WannaCry был механизм, который проверял два случайных домена в интернете и отключался при их наличии. У следующих модификаций вируса такого механизма отключения уже не было, поэтому полностью защитить могло только обновление или установка патчей.
Да, но у следующих модификаций вируса такого механизма отключения уже не было, поэтому полностью защитить могло только обновление или установка патчей.
Нет, в WannaCry был механизм, который проверял два случайных домена в интернете и отключался при их наличии. У следующих модификаций вируса такого механизма отключения уже не было, поэтому полностью защитить могло только обновление или установка патчей.
Нет, в WannaCry был механизм, который проверял два случайных домена в интернете и отключался при их наличии. У следующих модификаций вируса такого механизма отключения уже не было, поэтому полностью защитить могло только обновление или установка патчей.
Дальше
Проверить
Узнать результат
Мишенью становятся не только Windows, но и Linux. Одним из самых известных червей стал Mirai, который заразил более 600 000 IoT-устройств. При этом он использовал...
Да, основными жертвами стали устройства из Китая, где не особо беспокоятся о безопасности (а то и делают подобные уязвимости специально). На работу обычных пользователей Mirai никак не влиял, но гораздо опаснее оказалась его модификация, нацеленная на Linux-сервера с Apache Hadoop.
Нет, проблема была в открытом Telnet с дефолтными паролями. Основными жертвами стали устройства из Китая, где не особо беспокоятся о безопасности (а то и делают подобные уязвимости специально). На работу обычных пользователей Mirai никак не влиял, но гораздо опаснее оказалась его модификация, нацеленная на Linux-сервера с Apache Hadoop.
Нет, все было гораздо проще: открытый Telnet с дефолтными паролями. Основными жертвами стали устройства из Китая, где не особо беспокоятся о безопасности (а то и делают подобные уязвимости специально). На работу обычных пользователей Mirai никак не влиял, но гораздо опаснее оказалась его модификация, нацеленная на Linux-сервера с Apache Hadoop.
Нет, все было гораздо проще: открытый Telnet с дефолтными паролями. Основными жертвами стали устройства из Китая, где не особо беспокоятся о безопасности (а то и делают подобные уязвимости специально). На работу обычных пользователей Mirai никак не влиял, но гораздо опаснее оказалась его модификация, нацеленная на Linux-сервера с Apache Hadoop.
Дальше
Проверить
Узнать результат
Если китайцев еще можно простить, то промах Google удивляет: все версии Android до Oreo уязвимы для атаки Cloak and Dagger. Она позволяет получить конфиденциальную информацию, «накликать» рекламу и много других неприятных вещей. А на чем основана эта атака?
Нет. Для атаки Cloak and Dagger вредоносному приложению было достаточно получить доступ к Accessibility Service, который позволял выводить прозрачное окно поверх всех остальных приложений и «ловить» действия пользователя. С тотальной модой пользователей работать с мобильных устройств это превращается в серьезную проблему безопасности.
Нет. Для атаки Cloak and Dagger вредоносному приложению было достаточно получить доступ к Accessibility Service, который позволял выводить прозрачное окно поверх всех остальных приложений и «ловить» действия пользователя. С тотальной модой пользователей работать с мобильных устройств это превращается в серьезную проблему безопасности.
Нет. Для атаки Cloak and Dagger вредоносному приложению было достаточно получить доступ к Accessibility Service, который позволял выводить прозрачное окно поверх всех остальных приложений и «ловить» действия пользователя. С тотальной модой пользователей работать с мобильных устройств это превращается в серьезную проблему безопасности.
Да, Google никак не реагировала на эту возможность 8 лет. Для атаки Cloak and Dagger вредоносному приложению было достаточно получить доступ к Accessibility Service, который позволял выводить прозрачное окно поверх всех остальных приложений и «ловить» действия пользователя. С тотальной модой пользователей работать с мобильных устройств это превращается в серьезную проблему безопасности.
Дальше
Проверить
Узнать результат
MD5: Если надо, взломают без проблем.
Вы далеки от мира кибербезопасности. Рядовой пользователь может положиться на удачу, но для серьезных объектов такой подход уже не подойдет. Крупные распределенные системы и локальные сети крупных предприятий всегда были мишенью кибератак, которые приводили к миллионным убыткам. Сегодня на первое место выходит скорость реакции, когда необходимо не только увидеть вредоносное ПО, но и предсказать поведение неизвестных угроз. Kaspersky Enterprise Security позволяет помогает оставаться на шаг впереди преступников: единая консоль управления, работа на разных платформах и мобильных устройствах, поиск аномалий с помощью машинного обучения и регулярные тренинги персонала на всех уровнях. Решения «Лаборатории Касперского» позволяют поднять уровень защиты облачных сред, промышленной инфраструктуры, а также обеспечивают непревзойденную защиту от сложных целевых атак.
Пройти заново
SHA-1: Жить можно, но до первой серьезной атаки.
Да, вы знаете, что информационной безопасностью пренебрегать нельзя, но нужно постоянно совершенствовать свои навыки и знания. Крупные распределенные системы и локальные сети крупных предприятий всегда были мишенью кибератак, которые приводили к миллионным убыткам. Сегодня на первое место выходит именно скорость реакции, когда необходимо не только увидеть вредоносное ПО, но и предсказать поведение неизвестных угроз. Kaspersky Enterprise Security позволяет помогает оставаться на шаг впереди преступников: единая консоль управления, работа на разных платформах и мобильных устройствах, поиск аномалий с помощью машинного обучения и регулярные тренинги персонала на всех уровнях. Решения «Лаборатории Касперского» позволяют поднять уровень защиты облачных сред, промышленной инфраструктуры, а также обеспечивают непревзойденную защиту от сложных целевых атак.
Пройти заново
SHA-3: Все отлично! Пока что…
Да, вы держите руку на пульсе информационной безопасности. Это хорошо, только не забывайте, что сегодня на первое место выходит именно скорость реакции, когда необходимо не только увидеть вредоносное ПО, но и предсказать поведение неизвестных угроз. Kaspersky Enterprise Security позволяет помогает оставаться на шаг впереди преступников: единая консоль управления, работа на разных платформах и мобильных устройствах, поиск аномалий с помощью машинного обучения и регулярные тренинги персонала на всех уровнях. Решения «Лаборатории Касперского» позволяют поднять уровень защиты облачных сред, промышленной инфраструктуры, а также обеспечивают непревзойденную защиту от сложных целевых атак.
Пройти заново
Теги:
Хабы:
Всего голосов 25: ↑23 и ↓2+21
Комментарии4