На рынке информационной безопасности сейчас очень интересное время. В первом квартале 2015 года американские стартап-проекты, работающие в области ИБ, привлекли $1,02 млрд инвестиций, тогда как за весь 2011 год сумма была менее $1 млрд. Инвестиционные фонды и венчурные подразделения компаний все активнее ищут новые проекты в ожидании резкого увеличения бюджетов, выделяемых на безопасность, отмечает Financial Times со ссылкой на исследование PrivCo.

Причин для столь бурного роста более чем достаточно, и все о них наслышаны. Хакерские атаки на Sony Pictures и Home Depot, «фотоскандалы» Apple, потеря доверия к Bitcoin, появление в 2014 году «уязвимостей века» Heartbleed и Shellshock, а также естественное после такого хаоса ужесточение требований регуляторов почти во всех ведущих странах.

По прогнозам аналитиков Gartner, в 2015 году расходы на информационную безопасность увеличатся на 8,2% и составят $76,9 млрд. Сумма значительная, но и причины для этого не менее существенные. Хакерские атаки лишили Sony Pictures $100 млн, а ущерб шестого ритейлера США, компании Target, расценивается в $162 млн. В случае c американским дискаунтером оружием послужила программа KAPTOXA (позже переименованная в BlackPOS).



Большинство идей по защите информации, на которые обратили внимание инвесторы за последние пару лет, крутятся вокруг облачной и мобильной безопасности, а также технологий поведенческого анализа, как отмечает обозреватель Dark Reading Эрика Чиковски (Ericka Chickowski).

Четвертый год подряд в рамках подготовки к Positive Hack Days проводится конкурс для молодых ученых Young School. Цель соревнования — поддержка талантливых специалистов в области ИБ. Финалисты Young School получают возможность представить результаты своих работ перед международной аудиторией форума.

В конкурсе обычно участвуют исследования по широкому спектру тем, от безопасности бизнес-систем и приложений до прикладной криптографии. В этом году формат был расширен: допущены не только классические тезисы, но и результаты практических экспериментов (подробно об условиях мы написали в анонсе).

Компания Schneider Electric в начале апреля выпустила несколько обновлений и патчей, закрывающих уязвимости в программном обеспечении, которое используется для построения систем SCADA и HMI на атомных электростанциях, химических заводах и других критически важных объектах.

Под угрозой оказались InTouch Machine Edition 2014 версии 7.1.3.2 и InduSoft Web Studio 7.1.3.2, а также предыдущие версии этих продуктов. Среди исправленных ошибок: возможность исполнения произвольного кода, хранение и передача конфиденциальных данных в незашифрованном виде. Воспользоваться этими уязвимостями для совершения атаки может даже начинающий хакер. Производитель рекомендует пользователям как можно скорее установить выпущенные патчи.

Векторы атак для преодоления сетевого периметра

Сложность проведения атак в 2014 году оказалась заметно ниже, чем в предыдущие годы, а преодолеть сетевой периметр в 60% систем оказалось возможно через уязвимости веб-приложений. Также в 2014 году существенно снизился уровень осведомленности сотрудников компаний по вопросам безопасности: они стали во много раз чаще переходить по незнакомым ссылкам и открывать приложенные к письмам файлы. Такие наблюдения содержатся в исследовании компании Positive Technologies на основе тестов на проникновение, проводившихся в 2014 году, и сравнения полученных данных с прошлогодними результатами. В данном статье мы поделимся некоторыми результатами исследования.

18-20 апреля в МИФИ на базе факультета кибернетики и информационной безопасности состоится третья всероссийская студенческая олимпиада по информационной безопасности. Принять участие в соревновании могут не только студенты МИФИ, но и учащиеся других вузов в возрасте 18-25 лет.

RAII – одна из наиболее важных и полезных идиом в C++. RAII освобождает программиста от ручного управления ресурсами, без неё крайне затруднено написание безопасного с точки зрения исключений кода. Возможно, самое популярное использование RAII – это управление динамически выделяемой памятью с помощью умных указателей, но она также может с успехом применяться и к другим ресурсам, особенно в мире низкоуровневых библиотек. Примеры включают в себя дескрипторы Windows API, файловые дескрипторы POSIX, примитивы OpenGL и тому подобное.

Многие специалисты полагают, что концепция Диффи до сих пор является самым большим шагом вперед за всю историю криптографии. В 1976 году Уитфилд Диффи и его соавтор, стэнфордский профессор Мартин Хеллман, опубликовали научную работу «New Directions in Cryptography». В исследовании был представлен алгоритм обмена ключами, который и сегодня широко используется в криптографических приложениях.

Предлагаю вашему вниманию перевод небольшой статьи из блога Armin Ronacher — автора Flask, Jinja2 и много чего еще. На этот раз он поделится своими мыслями о Git — распределенной системе управления версиями файлов.

Git для меня интересная тема. Впервые я попробовал использовать Git, когда там не было вообще никакой системы команд, а Cogito считался многообещающим проектом. Не могу сказать, что мне это понравилось, в то время я в основном пользовался SVN, и он полностью решал все мои задачи. Вскоре я познакомился с Mercurial, и это была любовь с первого взгляда, положившая начало долгому и позитивному опыту использования этой VCS (version control system), которая получила в моем лице преданного сторонника. Только в 2008 году я перешел на Git, и мне потребовалось несколько попыток, прежде чем я понял, что пора переносить на него мои репозитории.

Статей о взломе Wi-Fi в Интернете достаточно много, но большинство из них касаются режима работы WEP/WPA(2)-Personal, в котором необходимо перехватить процедуру «рукопожатия» клиента и Wi-Fi-точки. Во многих корпоративных Wi-Fi-сетях используется режим безопасности WPA2-Enterprise, с аутентификацией по логину и паролю — как наименее затратный способ. При этом аутентификация осуществляется с помощью RADIUS-сервера.



ОС клиента устанавливает соединение с RADIUS-сервером, используя шифрование при помощи TLS, а проверка подлинности в основном происходит при помощи протокола MS-CHAPv2.

В полночь на главной странице Lenovo.com появилось слайд-шоу с изображениями подростков, явно не предназначенное для рекламы ноутбуков и смартфонов компании. При открытии страницы начинала играть песня «Breaking Free» из кинофильма «Классный мюзикл» (High School Musical). В 7 утра (мск) на сайте висела заглушка, а восстановили его работу только через несколько часов.

Не так давно прошла первая волна Call For Papers форума по информационной безопасности PHDays V. Представляем вашему вниманию новую порцию выступлений, которые прозвучат 26—27 мая в Москве (на Хабрахабре можно почитать первый и второй анонсы). Докладчики расскажут, как повысить безопасность iOS-приложения, чем суперкомпьютер привлекает хакеров и как его защитить, а также поведают о взаимоотношениях продавцов и покупателей эксплойтов уязвимостей нулевого дня.

Конкурс PHDays Young School был придуман три года назад, чтобы помочь начинающим исследователям проявить себя, продемонстрировать свои работы и поделиться неожиданными идеями. В этом году мы продлили прием заявок до 1 марта, а значит, у каждого наблюдательного разработчика, читающего эти строки, будь он школьник или студент, есть шанс в конце весны рассказать о своих открытиях с трибуны перед тысячами лучших хакеров и специалистов по безопасности.

В начале декабря стартовал прием заявок от желающих выступить на Positive Hack Days V, позднее мы анонсировали первую группу докладчиков, среди которых создатель Shodan Джон Мэтерли, кибердетектив Джон Бамбенек и профессиональный социнженер Крис Хаднаги.

Первый этап Call for Papers завершился в конце января, и сегодня мы представляем новую порцию докладов, которые вошли в техническую, практическую и бизнес- программу грядущего PHDays. Гости форума узнают, как превратить обычную корпоративную IТ-систему в неприступную цифровую крепость, какими будут стандарты шифрования будущего, как злоумышленники эксплуатируют уязвимости физических процессов.

Этой статьёй мы начинаем серию материалов, посвященных поиску уязвимостей в популярных системах с открытым кодом. Ошибки в OpenSSL и glibc показали, что тысячи глаз, имеющих доступ к коду, — не гарантия безопасности open source. Конечно, и закрытый код не становится безопаснее от самого факта закрытости. Просто при наличии правильных инструментов доступность исходного кода позволяет выявить гораздо больше уязвимостей, чем при тестировании методом «чёрного ящика». Вопрос лишь в том, кто этим воспользуется раньше – разработчики или злоумышленники.



Последние два года в ходе разработки системы анализа исходных кодов PT Application Inspector мы проверяли на стендах и «в поле» сотни бесплатных и коммерческих, открытых и проприетарных приложений. В ходе этих тестов было найдено значительное число уязвимостей нулевого дня. Часть этих проблем была закрыта и известна по последним докладам о безопасности SCADA, часть ожидает своей погибели в ходе ответственного разглашения.

Воспользуемся же открытостью open source и покажем, как выявляются и анализируются уязвимости в исходном коде. В роли первого подопытного выступает бесплатная система управления сообществами InstantCMS, работающая на PHP и MySQL. На базе данного конструктора создано немало социальных сетей, сайтов знакомств, онлайн-клубов, городских порталов и государственных ресурсов.

Большинство абонентов считают, что работа через сотовую сеть достаточно безопасна, ведь крупный оператор связи наверняка позаботился о защите. Увы, на практике в мобильном Интернете есть множество лазеек, дающих широкие возможности для злоумышленников.

Исследователи Positive Technologies обнаружили уязвимости в инфраструктуре сетей мобильной связи, которые позволяют перехватывать GPRS-трафик в открытом виде, подменять данные, блокировать доступ к Интернету, определять местоположение абонента. Под угрозой оказываются не только мобильные телефоны, но и специализированные устройства, подключенные к 2G/3G/4G-сетям с помощью модемов: банкоматы и терминалы оплаты, системы удаленного управления транспортом и промышленным оборудованием, средства телеметрии и мониторинга и т.д.

Минкомсвязи в конце декабря опубликовало свои взгляды в отношении внедрения свободного программного обеспечения (СПО) в госорганах. В документе перечислены преимущества свободных продуктов, главными из которых названы бесплатность и безопасность. Но так ли это на самом деле?

Вчера стало известно о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.



Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail». При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».

Несмотря на скептические прогнозы сообщества Metasploit о перспективах массовой эксплуатации уязвимости CVE-2015-0235, появились первые жертвы. Исследователи компании Positive Technologies сообщают о наличии «боевого» эксплойта для этой уязвимости в популярном форуме phpBB. Также уязвимы Wordpress и ряд других популярных приложений.



Использование уязвимости в функции gethostbyname позволяет злоумышленнику получить полный контроль над операционной системой уязвимого сервера.

Уязвимость в распространенных дистрибутивах Linux может позволить злоумышленнику получить удаленный контроль над системой. Под ударом оказались пользователи Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04. Также уязвимы Zend Framework v2, Wordpress и ряд других популярных приложений.

Информация о новой уязвимости (CVE-2015-0235) в библиотеке glibc (GNU C Library) впервые была опубликована во французской рассылке. Некоторые специалисты считают, что это было сделано по ошибке, так как к тому моменту никто не успел подготовить обновления.

Подробное техническое описание уязвимости и эксплойт для уязвимости можно найти на Openwall, а первые описания были опубликованы в сообществе Rapid 7.

В конце декабря специалисты по безопасности из Google Security Team обнаружили ряд критических уязвимостей в реализации протокола NTP, который используется во многих промышленных системах управления для синхронизации времени на серверах.

Уязвимости, которым подвержены все NTP-сервера до версии 4.2.8, включают несколько вариантов переполнения буфера и позволяют атакующему удалённо выполнять произвольный код на сервере. Как отмечают исследователи, эксплойты для данных уязвимостей уже существуют в публичном доступе.

По данным Positive Technologies, использование открытых источников позволяет легко выявить более 30 000 серверов в интернет, до сих пор подверженных данной уязвимости. Причем 4300 из них расположенны в российском сегменте сети Интернет.