Теги → phdays

Новая статья: Интернет дырявых вещей

Данные берутся из публикации Интернет дырявых вещей

Positive Hack Days VI: взломать электроподстанцию может даже школьник

17 и 18 мая в Москве прошёл форум по практической информационной безопасности Positive Hack Days, на котором состоялся конкурс по взлому промышленного оборудования Critical Infrastructure Attack: Blackout. Задачей хакеров было атаковать модель системы электроснабжения небольшого региона. Конкурсная модель была максимально приближена к реальности как технически, так и функционально, и разделена на отдельные части, такие как генерация, передача, распределение и управление электроснабжением.

В ходе соревнований семнадцатилетнему ученику десятого класса московской школы №1143 удалось обойти защиту промышленных протоколов и спровоцировать короткое замыкание на магистральной подстанции высокого напряжения (500 кВ). Он скачал в Интернете специальное инженерное ПО и с его помощью, использовав уязвимости промышленных протоколов SCADA-систем Siemens, вызвал аварию электрической подстанции.

Замыкание сопровождалось физическим повреждением оборудования: произошло возгорание кабелей, которое могло привести к полному выходу трансформаторов из строя.

Эксперт Positive Technologies Илья Карпов отметил недостаточно высокий уровень защищённости промышленных протоколов — ущерб оборудованию электрической подстанции можно нанести даже не обладая высокой квалификацией.

Выход из строя магистральной подстанции, спровоцированный юным взломщиком, может не только вызвать локальный blackout, но и нарушить функционирование общей системы электроэнергетики и даже «отключить» город. 

PHDays V: неосведомлённость сотрудников названа в числе источников киберугроз

На международном форуме по практической безопасности Positive Hack Days, который пройдёт 26—27 мая в Москве, будут представлены результаты исследования Positive Technologies «Статистика уязвимостей корпоративных информационных систем». Как утверждает Positive Technologies, основными источниками киберугроз для крупного бизнеса в 2014 году стали ошибки веб-приложений, слабые пароли и собственные сотрудники.

Почти все корпоративные IT-системы (94 %) не защищены от взлома, позволяя получить полный контроль над критически важными ресурсами компаний, такими как электронная почта, системы управления сетевым оборудованием, Active Directory и ERP. В 67 % случаев получение полного контроля над одним из важнейших ресурсов оказалось возможным от лица любого внешнего злоумышленника и в 27% случаев при доступе к пользовательскому сегменту внутренней сети.

Практически в каждой информационной системе (89 %) выявлены уязвимости, связанные с ошибками в коде веб-приложений; более чем в половине компаний (61 %) это были уязвимости высокой степени риска.

Выросло по сравнению с 2013 годом с 50 до 78 % среди протестированных число систем, содержащих критически опасные уязвимости, возникшие в результате использования устаревших версий ПО.

Специалисты Positive Technologies проанализировали информационные системы 18 крупных государственных и коммерческих компаний, часть которых входит в Fortune Global 500 и рейтинг агентства «Эксперт».

Отчет Positive Technologies затрагивает основные направления информационной безопасности — защиту сетевого периметра, внутренней сети и корпоративных пользователей.

Самые распространенные уязвимости на сетевом периметре — доступные из Интернета интерфейсы управления сетевым оборудованием и серверами (доля выросла с 82 до 93 %) и использование словарных паролей, в том числе установленных по умолчанию и пустых (87 %).

Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему остаются слабые пароли. При этом в каждой системе выявлены простые пароли администраторов (более половины — длиной до 6 символов). Следующая по распространенности уязвимость внутренних сетей — недостаточный уровень защиты привилегированных учетных записей (88 % систем).

В исследовании также отмечено существенное снижение уровня осведомленности сотрудников в вопросах безопасности: они стали почти в 2 раза чаще, чем в 2013 году, переходить по незнакомым ссылкам и открывать приложенные к письмам файлы. Кроме того, было зафиксировано в 4 раза больше фактов ввода учетных данных и запуска приложенных к письму файлов.

Schneider Electric поблагодарила победительницу хакерского конкурса PHDays Алису Шевченко

Французская компания Schneider Electric поблагодарила победительницу конкурса Critical Infrastructure Attack, который проходил на международной конференции по безопасности Positive Hack Days IV, Алису Шевченко (Esage Lab) за найденные уязвимости. Участники конкурса нашли немало ошибок в программном обеспечении Schneider Electric, используемом для построения систем SCADA и HMI на атомных электростанциях, химических заводах и других критически важных объектах.

Уязвимости в InTouch Machine Edition 2014 версии 7.1.3.2 и InduSoft Web Studio 7.1.3.2, а также предыдущих версиях этих продуктов обнаружили исследователи Positive Technologies Илья Карпов и Кирилл Нестеров в ходе работ по оценке уровня защищенности промышленных систем. В свою очередь, участники конкурса Critical Infrastructure Attack заметно дополнили перечень багов. Некоторые из них компания не упомянула в бюллетене и не создала для них CVE-записей. К сожалению, такая практика становится все более распространенной: производители исправляют ошибки безопасности, но не всегда признают их наличие.

В итоге, в начале апреля Schneider Electric выпустила несколько обновлений и патчей, закрывающих уязвимости в программном обеспечении. Среди исправленных ошибок: возможность исполнения произвольного кода, хранение и передача конфиденциальных данных в незашифрованном виде.

Конкурс по анализу защищенности промышленных систем управления (АСУ ТП) впервые прошёл на Positive Hack Days в 2013 году под названием Choo Choo Pwn. Тогда в лаборатории компании Positive Technologies была создана игровая модель железной дороги, все элементы которой контролируются с помощью АСУ ТП.

В 2014 году конкурсную инфраструктуру кардинально изменили, что открыло больше возможностей для обнаружения уязвимостей нулевого дня. Помимо транспортной инфраструктуры, участники конкурса могли взять под контроль систему городского освещения, ТЭЦ и различных роботов.

Следуя принципам ответственного разглашения, участники конкурса Critical Infrastructure Attack должны сначала сообщить о найденных уязвимостях производителям, и только после устранения проблем допускается публикация информации о багах.

Очередной конкурс по анализу защищенности АСУ ТП состоится на пятом форуме Positive Hack Days, который пройдёт 26 и 27 мая в Москве. Подробности на сайте форума.

window-new
Soft
Hard
Тренды 🔥
«ВКонтакте» откроет монетизацию видео для всех сообществ, но с определёнными условиями 3 ч.
Сбой на серверах Amazon Web Services привёл к проблемам в работе Netflix, Valorant и других сервисов и игр 4 ч.
В Steam и на консолях Xbox стартовала временная демоверсия Nobody Saves the World 6 ч.
Тактическая ролевая игра Expeditions: Rome поступит в продажу 20 января для Steam 6 ч.
343 Industries объяснила отсутствие выбора миссий в Halo Infinite и пообещала добавить опцию после релиза 7 ч.
Google превращает Gmail в мессенджер — в почтовом приложении появятся голосовые и видеозвонки 7 ч.
Слухи: следующее дополнение к Assassin's Creed Valhalla выпустят до конца месяца 7 ч.
Intel представила огромные наборы данных, которые обучение ИИ распознаванию речи 8 ч.
Сборник Uncharted: Legacy of Thieves Collection получил точную дату выхода на PS5 — 28 января 2022 года 8 ч.
Олдскульный шутер Serious Sam 4 неожиданно вышел на консолях PlayStation и Xbox нового поколения 8 ч.
Новая статья: Обзор и тестирование корпуса Deepcool CG540: совместить несовместимое 50 мин.
Новая статья: Обзор смартфона ZTE Axon 30 Ultra: альтернативный флагман не для нас 3 ч.
TCL показала рабочий прототип смартфона, дисплей которого может и складываться, и скручиваться 3 ч.
Sony показала прототип VR-гарнитуры следующего поколения — низкая задержка и разрешение 8К 4 ч.
Отказ серверов AWS привёл к проблемам с доставкой товаров с Amazon 4 ч.
Nokia развернула частную 5G-сеть на главном заводе Volkswagen в Германии 5 ч.
NVIDIA надеется, что ситуация с поставками видеокарт улучшится во второй половине 2022 года 6 ч.
Oppo покажет смартфон с выдвижной основной камерой 14 декабря 6 ч.
Razer представила кулер с RGB-подсветкой за $60 для iPhone и других смартфонов 6 ч.
Российские учёные продвинулись в изучении «транзисторов» будущего, основанных на переключении спиновых состояний электронов 6 ч.