Теги → positive technologies
Быстрый переход

Искусство взлома: хакерам достаточно 30 минут для проникновения в корпоративные сети

Для обхода защиты корпоративных сетей и получения доступа к локальной IT-инфраструктуре организаций злоумышленникам требуется в среднем четыре дня, а минимум — 30 минут. Об этом свидетельствует проведённое специалистами компании Positive Technologies исследование.

Проведённая Positive Technologies оценка защищённости сетевого периметра предприятий показала, что получить доступ к ресурсам в локальной сети можно в 93 % компаний, а в 71 % организаций проникнуть во внутреннюю инфраструктуру может даже низкоквалифицированный хакер. При этом в 77 % случаев векторы проникновения были связаны с недостатками защиты веб-приложений. Остальные способы проникновения заключались главным образом в подборе учётных данных для доступа к различным сервисам на сетевом периметре, в том числе к СУБД и службам удалённого доступа.

В исследовании Positive Technologies отмечается, что узким местом веб-приложений являются уязвимости, которые встречаются как в программных продуктах собственной разработки, так и в решениях известных производителей. В частности, уязвимое ПО было обнаружено в IT-инфраструктуре 53 % компаний. «Необходимо регулярно проводить анализ защищённости веб-приложений. Самым эффективным методом проверки является анализ исходного кода, который позволяет найти наибольшее количество ошибок. Для превентивной защиты веб-приложений рекомендуется использовать межсетевой экран уровня приложений (Web Application Firewall, WAF), который позволяет предотвратить эксплуатацию существующих уязвимостей, даже если они ещё не были обнаружены», — говорят исследователи.

С полной версией аналитического исследования Positive Technologies можно ознакомиться по адресу ptsecurity.com/research/analytics.

Система выявления ИБ-инцидентов MaxPatrol SIEM получила обновление

Компания Positive Technologies объявила о выпуске новой версии программного комплекса MaxPatrol SIEM 5.1, предназначенного для мониторинга событий информационной безопасности и выявления различных инцидентов в режиме реального времени.

Платформа MaxPatrol SIEM собирает данные о текущих событиях и автоматически детектирует угрозы, в том числе ранее неизвестные. Система помогает ИБ-службам оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб организации.

В MaxPatrol SIEM версии 5.1 был осуществлён переход на новую архитектуру базы данных Elasticsearch, что, по заверениям разработчиков, позволило увеличить скорость работы продукта более чем на треть.

Ещё одно нововведение программного комплекса — гибкая модель управления ролями пользователей. Если ранее в системе можно было задать две роли — «Администратор» или «Оператор», то теперь IT-администраторы получили возможность создавать дополнительные роли, предоставляя или ограничивая доступ к определенным разделам продукта.

В числе прочих особенностей продукта называются расширенные средства обнаружения атак, улучшенный пользовательский интерфейс, а также дополнительные инструменты аналитики и обработки событий информационной безопасности.

Подробная информация о системе MaxPatrol SIEM доступна для изучения на сайте ptsecurity.com/products/mpsiem.

Распространители шифровальщиков угрожают публикацией похищенных данных

Компания Positive Technologies обнародовала развёрнутый отчёт, в котором рассматривается актуальные киберугрозы и текущие тенденции в мире сетевой преступности.

В целом, ситуация с кибербезопасностью усугубляется. Так, в последней четверти 2019 года количество уникальных инцидентов поднялось на 12 % по сравнению с предыдущим кварталом. При этом доля целенаправленных атак выросла на 2 %, достигнув 67 %.

Злоумышленники продолжают активно использовать программы, шифрующие данные на заражённом компьютере. Доля таких атак в общей массе заражений вредоносным ПО составила 36 % для юридических лиц и 17 % для частных лиц против соответственно 27 % и 7 % в третьем квартале 2019-го.

Более того, киберпреступники всё чаще применяют новую тактику шантажа в ответ на отказ жертв платить выкуп за расшифровку файлов: злоумышленники угрожают опубликовать похищенные данные.

«Мы связываем это с тем, что всё больше организаций делают резервные копии и не платят за расшифрование. Злоумышленники приняли контрмеры и теперь шантажируют жертв возможными санкциями за утечку персональных данных, обращение с которыми регулируется нормами Общего регламента по защите данных», — отмечает Positive Technologies.

Исследование также показало, что треть украденной у юридических лиц информации (32 %) составили данные платёжных карт, что на 25 % больше, чем в третьем квартале. 

Только менять: в чипсетах Intel найдена неустранимая уязвимость

Эксперты Positive Technologies годами исследуют подсистему Intel ME (CSME). И не зря! Они находят там много интересного. Сама подсистема Intel Management Engine преследует благую цель ― обеспечить удобное и удалённое обслуживание компьютеров. Но обратная сторона комфорта ― это потенциальная уязвимость системы для взлома. А новая находка экспертов вообще за гранью. Оказывается, в чипсетах Intel есть в принципе неустранимая уязвимость.

Эксперты выяснили, что обнаруженная в прошлом году уязвимость CVE-2019-0090 более опасна, чем считалось ранее. В то же время использовать её ― это ещё надо постараться. Во-первых, нужен доступ к атакуемому компьютеру. Во-вторых, необходимо специальное оборудование, чтобы подключиться к чипсету на материнской плате (программатор или что-то такое). В-третьих, необходим набор ПО для работы с микрокодом и для извлечения данных из памяти ROM в чипсете.

Если всё перечисленное есть, а также имеется и необходимый опыт, эксплуатация уязвимости CVE-2019-0090 позволит извлечь из области ROM-памяти чипсета корневой ключ платформы (chipset key). А ключик позволит сделать много интересного. При этом, что важно, утечку ключа зафиксировать никак нельзя. Ключ же позволит расшифровать данные на атакуемом компьютере или подделать его аттестацию. Зачем это нужно? Эта операция позволяет выдать свой компьютер за компьютер жертвы и, например, обойти технологию защиты DRM. Наконец, подделка аттестата может помочь нарушить безопасность банковских транзакций и аттестации Интернета вещей.

Кажется, что это неопасно? Это верно не для всех сценариев. Например, уязвимость позволяет взломать украденный или потерянный ноутбук, а это — повсеместное явление. Взломать можно чужую рабочую станцию, систему, попавшую в ремонт. Более того, если производитель оборудования позволяет дистанционно обновлять прошивки внутренних устройств, таких как Intel Integrated Sensor Hub, то перехват ключа также становится возможен.

Данной уязвимости, считают в Positive Technologies, подвержены почти все чипсеты компании Intel за последние пять лет. Патчами устранить эту уязвимость нельзя. Систему необходимо менять полностью, например, на процессоры Intel 10-го поколения.

«Уязвимость потенциально дает возможность скомпрометировать распространенные технологии защиты информации, которые используют аппаратные ключи для шифрования, такие как DRM, firmware TPM, Intel Identity Protection. Например, злоумышленник может эксплуатировать уязвимость на своем ПК для обхода DRM-защиты контента и его нелегального копирования. Данная ошибка в ROM также позволяет организовать произвольное выполнение кода на нулевом уровне привилегий Intel CSME, и устранить эту ошибку с помощью обновления прошивки невозможно».

Компания Intel поблагодарила Positive Technologies за обнаруженную уязвимость и за своевременное сообщение о ней. Также Intel разослала следующее официальное уведомление: «Intel была проинформирована об уязвимости, которая может повлиять на работу системы Intel® Converged Security Management Engine, при которой злоумышленник со специализированным аппаратным обеспечением и физическим доступом может выполнить произвольный код в подсистеме Intel® CSME на некоторых продуктах Intel. Intel выпустила рекомендации по устранению уязвимости и советует своевременно обновлять ПО. Дополнительное руководство по CVE-2019-0090 можно найти по ссылке».

Девять из десяти веб-приложений допускают атаки на пользователей

Компания Positive Technologies обнародовала результаты исследования, посвящённого изучению безопасности веб-приложений и угроз в соответствующем сегменте в 2019 году.

Как оказалось, в девяти из десяти веб-приложений (примерно в 90 %) злоумышленники теоретически могут проводить атаки на пользователей. Это может быть, скажем, перенаправление клиента на вредоносный ресурс, хищение учётных данных с помощью фишинга, заражение компьютера вредоносным ПО и пр.

Исследователи пришли к выводу, что 82 % уязвимостей веб-приложений содержатся в исходном коде. Почти в каждом втором — в 45 % — изученном веб-приложении были выявлены недостатки аутентификации. Угроза утечки важных данных присутствует в 68 % веб-приложений.

«Число уязвимостей, которое в среднем приходится на одно веб-приложение, снизилось по сравнению с 2018 годом в полтора раза. В среднем на одну систему приходятся 22 уязвимости, четыре из которых имеют высокий уровень риска», — говорится в исследовании.

В 16 % веб-приложений были найдены критически опасные уязвимости, позволяющие получить контроль не только над приложением, но и над ОС сервера. В целом, примерно каждая пятая уязвимость представляет высокую опасность.

Более подробно с результатами исследования можно ознакомиться здесь

Positive Technologies: российский рынок ИБ испытывает острую нехватку кадров

Рынок кибербезопасности в России испытывает серьёзный недостаток в высококвалифицированных кадрах, имеющих достаточный уровень знаний и навыков. Об этом свидетельствуют результаты исследования, проведённого компанией Positive Technologies.

Опросы специалистов, отвечающих за функционирование IT-инфраструктуры в предприятиях малого и среднего бизнеса, а также в крупных корпорациях, показали, что среди топ-менеджмента отечественных организаций сформировался запрос на практическую информационную безопасность.

Всё более востребованными становятся специалисты, обладающие сразу несколькими компетенциями, например совмещают знания в сфере информационной безопасности со знаниями в области Data Science или АСУ ТП. «Бизнес осознает нехватку таких экспертов у себя в штате и приходит к аутсорсингу или аутстаффингу, а в некоторых случаях даже вынужден самостоятельно обучать такого рода кадры», — подчёркивают аналитики Positive Technologies.

По оценкам Positive Technologies, в РФ в 2019 году запланированные бюджеты на обеспечение IT-безопасности выросли в среднем на 20 %, однако компании не успели их израсходовать. Причина — необходимость проходить длительные конкурсные процедуры: предприятия просто не успевают закупить те средства защиты, которые им необходимы, говорится в тексте исследования.

Подробнее с результатами аналитического исследования Positive Technologies можно ознакомиться на сайте ptsecurity.com/research/analytics/cybersecurity-2019-2020.

Две трети кибератак носят целенаправленный характер

Компания Positive Technologies обнародовала развёрнутый отчёт «Актуальные киберугрозы: III квартал 2019 года», в котором подробно рассматривается ситуация с безопасностью во Всемирной сети.

Эксперты фиксируют дальнейший рост числа целенаправленных атак (APT): теперь на них приходится две трети (65 %) от общего количества кибернападений. Для сравнения: во второй четверти текущего года данный показатель равнялся 59 %.

«Организации по всему миру находятся под угрозой сложных целенаправленных атак. Наибольший интерес для злоумышленников представляют государственные учреждения, промышленные компании, финансовый сектор и организации сферы науки и образования», — отмечается в отчёте.

Ещё одна тенденция минувшего квартала — рост количества кибератак, направленных на кражу информации. Их доля в сегменте юридических лиц в течение трёх месяцев поднялась с 58 % до 61 %. В сегменте частных пользователей рост оказался более существенным — с 55 % до 64 %.

Доля финансово мотивированных атак для юридических и частных лиц сравнялась и составила 31 %. Такие нападения в сегменте юридических лиц преимущественно связаны с заражениями троянами-шифровальщиками, требующими выкуп за восстановление зашифрованных данных. В атаках на частных лиц киберпреступники ищут финансовую выгоду, распространяя навязчивую рекламу и мобильные приложения, подписывающие на платные услуги.

В то же время специалисты Positive Technologies отметили снижение доли атак с применением майнеров криптовалюты — до 3 % в случае организаций и до 2 % в случае частных лиц.

Говорится также, что три четверти атак в корпоративном сегменте и 62 % атак среди обычных пользователей сопровождались заражениями различного рода зловредами. 

Три четверти мобильных приложений не обеспечивают должную защиту данных

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучалась безопасность мобильных приложений для операционных систем Android и iOS.

Сообщается, что большинство программ для смартфонов и планшетов содержат те или иные уязвимости. Так, три четверти (76 %) мобильных приложений содержат «дыры» и недоработки, связанные с небезопасным хранением данных: в руках злоумышленников могут оказаться пароли, финансовая информация, персональные сведения и личная переписка владельцев гаджетов.

Специалисты выяснили, что 60 % уязвимостей сосредоточены в клиентской части приложений. При этом 89 % «дыр» могут эксплуатироваться без физического доступа к мобильному устройству, а 56 % — без прав администратора (jailbreak или root).

Программы для Android с критически опасными уязвимостями встречаются несколько чаще, чем приложения для iOS — 43 % против 38 %. Однако эта разница несущественна, считают эксперты.

Каждая третья уязвимость мобильных приложений для Android связана с недостатками конфигурации.

Positive Technologies

Positive Technologies

Эксперты также подчёркивают, что нельзя недооценивать риск кибератаки в результате эксплуатации уязвимостей серверной части. Серверы мобильных приложений защищены не намного лучше, чем клиентские части. В 2018 году каждая серверная часть содержала хотя бы одну уязвимость, которая позволяет проводить разнообразные атаки на пользователей, включая фишинговые рассылки от имени сотрудников компании-разработчика.

Более подробно с результатами исследования можно ознакомиться здесь

В каждом втором онлайн-банке возможно хищение денежных средств

Компания Positive Technologies опубликовала отчёт с результатами исследования защищённости веб-приложений для дистанционного банковского обслуживания (онлайн-банков).

В целом, как показал анализ, безопасность соответствующих систем оставляет желать много лучшего. Эксперты установили, что большинство онлайн-банков содержат критически опасные уязвимости, эксплуатация которых может обернуться крайне негативными последствиями.

В частности, в каждом втором — в 54 % — банковском приложении возможны проведение мошеннических операций и кража денежных средств.

Угрозе несанкционированного доступа к личным данным и банковской тайне подвержены все онлайн-банки. А в 77 % обследованных систем выявлены недостатки реализации механизмов двухфакторной аутентификации.

Мошеннические операции и кража денежных средств чаще всего возможны из-за ошибок в логике работы онлайн-банка. Например, многократное повторение так называемых атак на округление суммы денежных средств при конвертации валюты может привести к ощутимым для банка финансовым потерям.

Компания Positive Technologies отмечает, что готовые решения, предлагаемые сторонними поставщиками ПО, содержат в три раза меньше уязвимостей, чем системы, разработанные банками самостоятельно.

Впрочем, есть и положительные моменты. Так, в 2018 году зафиксировано сокращение доли уязвимостей высокого уровня риска в общем числе всех выявленных недостатков банковских онлайн-приложений. 

Positive Technologies сообщила о находке новой потенциальной «закладки» в чипах Intel

Вряд ли кто-то будет спорить с тем, что процессоры ― это довольно сложные решения, которые просто не могут работать без самодиагностики и сложных средств контроля как на этапе изготовления, так и в процессе эксплуатации. Разработчики просто обязаны иметь средства «всевластия», чтобы быть полностью уверенными в годности изделия. И ведь эти инструменты никуда не деваются. В дальнейшем все эти средства диагностики в составе процессора могут служить благим целям в виде технологий удалённого контроля типа Intel AMT, так и потенциально могут стать бэкдором для спецслужб или злоумышленников, что для пользователя часто одно и то же.

iStockphoto

iStockphoto

Как вы можете помнить, в мае 2016 года специалисты компании Positive Technologies обнаружили, что модуль Intel Management Engine 11 для реализации технологии AMT в составе системного хаба (PCH) претерпел серьёзные изменения и стал уязвимым для атак злоумышленников. До версии IME 11 модуль был на уникальной архитектуре и без специальной документации не представлял особой опасности, а он может открыть доступ к информации в памяти ПК. С версии IME 11 модуль стал x86-совместимым и доступным для изучения широким массам (подробнее об уязвимости INTEL-SA-00086 здесь и дальше по ссылкам). Более того, через год выявилась связь между IME и программой слежки АНБ США. Дальнейшее изучение IME привело к открытию ещё одной потенциальной «закладки» в контроллерах и процессорах Intel, о которой вчера на конференции Black Hat в Сингапуре рассказали специалисты Positive Technologies Максим Горячий и Марк Ермолов.

В составе хаба PCH и в процессорах Intel обнаружен многофункциональный логический анализатор сигналов VISA (Intel Visualization of Internal Signals Architecture). Точнее, VISA ― это тоже инструмент Intel по проверке процессоров на исправность. Документация на блок не находится в открытом доступе, но это не значит, что её нет. Изучение VISA выявило, что изначально деактивируемый на заводе Intel анализатор может быть активирован злоумышленником, и он обеспечит доступ как к информации в памяти ПК, так и к сигнальным последовательностям периферии. Причём способов включения VISA нашлось несколько.

PCH

PCH

Включить VISA и получить, например, доступ к веб-камерам удалось на обычной материнской плате. Никакого специального оборудования для этого не потребовалось. Этот и другой пример специалисты Positive Technologies продемонстрировали в ходе доклада на Black Hat. Напрямую с АНБ наличие VISA (пока) никто не связывает, кроме, конечно, конспирологов. Однако если в наличии имеется недокументированная возможность включить анализатор сигнала в любой системе на платформе Intel, то где-то её обязательно включат.

В Android найдена опасная многолетняя уязвимость

Компания Positive Technologies сообщает об обнаружении весьма опасной уязвимости в актуальных версиях мобильной операционной системы Android.

Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps).

Проблема затрагивает платформы Android 7.0, 8.0, 9.0 и более ранние редакции операционной системы. Злоумышленники теоретически могут похитить важную информацию со смартфона. Это могут быть, к примеру, сессии мессенджеров, банковских приложений и пр.

WebView — компонент платформы Android, который даёт возможность отображать веб-страницы внутри Android-приложения.

«Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки и другие данные», — отмечают специалисты Positive Technologies.

Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер. Важно отметить, что атакам подвержены смартфоны, планшеты и другие Android-устройства. 

Перехват данных платёжной карты возможен во всех банкоматах

Компания Positive Technologies продолжает делиться результатами комплексного исследования, в ходе которого изучалась безопасность распространённых банкоматов.

На прошлой неделе, напомним, сообщалось, что практически все банкоматы таких производителей, как NCR, Diebold Nixdorf и GRGBanking, уязвимы для атак того или иного типа. Киберпреступники, в частности, могут обойти защиту автоматов и похитить денежные средства.

Как теперь отмечается, пострадать от действий злоумышленников могут не только банки, использующие уязвимые устройства, но и рядовые клиенты. Дело в том, что во всех изученных банкоматах теоретически возможен перехват данных платёжной карты.

На банковской карте присутствует магнитная полоса, которая содержит информацию, необходимую для проведения операций. Долгое время преступники использовали физические накладки на картридер — скиммеры, которые считывали данные непосредственно с магнитной полосы. Однако банки научились защищаться от подобных атак, и киберпреступники начали брать на вооружение новые методы кражи информации с банковских карт.

Так, перехватить данные можно во время их передачи между OC банкомата и картридером. В ходе такой атаки между системным блоком банкомата и картридером подключается устройство, которое перехватывает содержимое дорожек магнитной полосы платёжных карт.

Ещё один метод — установка специализированной вредоносной программы на банкомат. На проведение подобной атаки преступнику понадобится в среднем 15 минут. Правда, в этом случае требуется доступ в сервисную зону банкомата. 

Практически все банкоматы уязвимы для атак

Компания Positive Technologies обнародовала неутешительные результаты исследования, в ходе которого изучалась безопасность широко распространённых банкоматов.

Эксперты оценили защищённость устройств производства NCR, Diebold Nixdorf и GRGBanking. Оказалось, что практически все банкоматы уязвимы для атак того или иного типа.

Отмечается, что каждый исследованный банкомат имел уникальную конфигурацию: спектр атак на одну и ту же модель различался в зависимости от типа подключения к процессинговому центру, набора установленного ПО, используемых мер защиты и других специфических параметров.

Девять из десяти банкоматов — 92 % — уязвимы для атак, связанных с отсутствием шифрования жёсткого диска. Это позволяет киберпреступникам напрямую подключиться к накопителю, записать на него вредоносную программу и отключить любые средства защиты.

85 % устройств недостаточно защищены от атак на сетевом уровне, в частности от подмены процессингового центра, которая позволяет вмешаться в процесс подтверждения транзакции и подделать ответ от центра — одобрить любой запрос на снятие наличных или увеличить количество выдаваемых купюр.

Три четверти банкоматов (76 %) теоретически допускают проведение атаки типа «Выход из режима киоска»: злоумышленник может обойти клиентские ограничения и выполнить команды непосредственно в ОС автомата.

Наконец, 69 % изученных банкоматов допускают подключение к диспенсеру особого устройства, запрограммированного на отправку команд для выдачи купюр.

Более подробно с результатами исследования можно ознакомиться здесь

Positive Technologies: все приложения для трейдинга содержат «дыры»

Специалисты компании Positive Technologies изучили защищённость приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы.

В каждом исследованном приложении эксперты обнаружили «дыры». Более того, 72 % изученных программ содержали хотя бы одну критически опасную уязвимость.

В частности, было установлено, что в 61 % приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Понятно, что для жертвы это может обернуться самыми печальными последствиями. Киберпреступники, к примеру, могут торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли и пр.

Треть приложений — 33 % — содержат опасные уязвимости, которые позволяют осуществлять сделки по продаже или покупке акций от имени пользователя без доступа к личному кабинету.

Выявлены также уязвимости, с помощью которых злоумышленник может подменить цены, отображаемые пользователю. Такие «дыры» содержат 17 % исследованных приложений. Подменяя цены, киберпреступники могут вынуждать трейдеров совершать убыточные сделки.

Некоторые ПК-приложения позволяют получить контроль над системой трейдера, например, путём замены файла обновления на вредоносное программное обеспечение.

Более подробно с результатами исследования можно ознакомиться здесь

Доля целевых атак в Сети превысила 50 процентов

Исследование, проведённое компанией Positive Technologies, говорит о том, что количество киберинцидентов во втором квартале текущего года выросло практически в полтора раза (на 47 %) по сравнению со второй четвертью 2017-го.

В период с апреля по июнь включительно было зафиксировано большое количество целевых атак на различные организации. Доля таких кибернападений превысила долю массовых атак, достигнув 54 %.

Эксперты отмечают, что киберпреступники продолжают изобретать новые методы воздействия на пользователей, которые позволили бы им заразить целевую систему вредоносным ПО, украсть деньги или получить доступ к конфиденциальной информации. В настоящее время примерно каждая четвёртая кибератака нацелена на частных лиц.

Сетевые злоумышленники всё чаще проводят атаки с целью получения конфиденциальной информации. Интерес для преступников представляют прежде всего персональные данные, учётные записи и данные банковских карт.

В прошлом квартале отмечено большое количество атак на криптовалютные сети, такие как Verge, Monacoin, Bitcoin Gold, ZenCash, Litecoin Cash. В результате злоумышленники похитили в общей сложности более 100 млн долларов США.

«Если говорить о прогнозах, то, вероятно, сохранится тенденция к увеличению доли атак, направленных на хищение данных. Многие компании уделяют недостаточно внимания защите обрабатываемой информации, что делает её легкой добычей даже для низкоквалифицированных хакеров», — отмечает Positive Technologies. 

window-new
Soft
Hard
Тренды 🔥