Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Category:

Ай-да-новости 25.07.2014

Крепче за баранку держись, шофер (с)

Новости о новых взломах, таргетированных атаках и эпидемиях как-то уже публике приелись. Что не приелось? Увы, много чего ещё можно хакнуть и потихоньку хакают. На прошлой неделе пришла депеша из Китая, где на очередном хакерском «фестивале» поломали Теслу (машину :). А чем хороша Тесла? Ну, экологичность, внешний вид, прочие обычные автомобильные ТТХ - это да. А что ещё? Ага! Электронная начинка и обилие возможностей удалённого управления со всяких умных девайсов! Увы, любая функциональность (особенно разработанная без привлечения спецов по IT-безопасности) тащит за собой новые угрозы. И вот, одну такую угрозу нашли ребята из одной китайской компании.

tesla

Суть хака в следующем: злоумышленник может управлять тормозами, сигналом и освещением автомобиля, в том числе находящимся в движении. Вот вам и Watch_Dogs! Правда, никаких деталей как это сделать опубликовано не было. В полном соответствии с принципом “responsible disclosure”, сии детали были направлены прямиком в Теслу для изучения и исправления. Ну, что ж, посмотрим-поглядим, вообще «был ли мальчик». Уж сколько раз оказывалось, что взлом или невозможен или возможен при каких-нибудь нечеловеческих условиях. Впрочем, я не удивлюсь, если дыра будет реальной. Мы тут недавно провели любопытное исследование умной начинки BMW: возможностей для хака там предостаточно.

Бумеранг

Новость о паролях. Журналист WSJ решил на практике, на себе доказать нафигникомуненужность паролей. Пароли – на свалку! У нас же есть более продвинутые технологии многофакторной аутентификации, в том числе по одноразовому паролю через SMS! Ну, возразить нечего, 2FA рулит (хотя её уже тоже <a href=">научились обходить</a>)! Однако эксперимент не совсем удался: журналист выложил в паблик пароль к своему Твиттеру, подключив подтверждение логина на свой телефон. Аккаунт не взломали, но ему пришлось быстро прекратить опыт – желающих опровергнуть теорию о ненужности паролей оказалось так много, что телефон журналиста «взорвался» от SMS-запросов :)


mims

Вредные советы.

Пароли – тема горячая, и вот ещё из этой области.

Сколько веб-сервисов вы используете? А сколько паролей? У подавляющего большинства вторая цифра – один, вне зависимости от цифры первой. Да, мы используем один и тот же пароль везде. Что хуже – не только в Интернете, но и для доступа к корпоративным ресурсам. С другой стороны, запомнить стопятьсот паролей за пределами человеческих способностей. Что делать? Микрософт предложил математическую модель высокой надёжности, чтобы управлять всеми аккаунтами с помощью ограниченного числа паролей. Типа разбиваем веб-сервисы на группы с т.з. их важности и на каждую назначаем отдельный пароль. Важная оговорка к исследованию: модель не рекомендуется для онлайн-банкинга и других сервисов, где пахнет деньгами.

psw_ms

А если идея не понравилась, то есть более простое (и надёжное) решение – password manager. 

Я знаю, чем занимается ваш OPC-сервер.

Безопасность промышленных систем – это отдельная песня. Я уже один раз сглазил, теперь к кассандризмам отношусь с осторожностью. Но что не новость из этой области, то фейспалм или мурашки по коже. Или и то и другое.

Зловреды вплотную подбираются к торчащим наружу SCADA-системам. Эй, АСУТПшники! Не торчите свои системы в Интернет! Вообще никуда не торчите :) Там злые акулы и гориллы быстро намотают их на красную кнопку какой-нибудь нехорошей разведки. И вот тому ещё один звоночек: у одной модификации трояна Havex обнаружился презабавный модуль, сканирующий  OPC-серверы («толмач» между программным контроллером и системой управления). Т.е. если эта пакость попадает в корпоративную сеть (например, компьютер бухгалтера), то кибер-негодяи поймут что и как у вас занимается промышленными процессами.

fireeye1

Хорошие новости: похоже, этот модуль Havex ни что иное как концепт. В реальной жизни его боевое применение замечено не было. Впрочем, в работоспособности этой функции сомневаться не приходится. А в секюрити от теории к практике короткая дорожка.

Another one bites the dust.

Одним ботнетом стало меньше. Мы тут вместе с Европолом, ФБР, GCHQ сотоварищи навалились на Shylock и ... в общем, нет больше Shylock’а. Операция была сложная, сразу во многих странах, пришлось собирать и анализировать тонны информации, планировать операцию, чтобы всех и сразу. Но что радует – это ведь работает! Ещё лет 5 назад такие вещи делались еле-еле, с громким бюрократическим скрипом. Лет 10 назад они вообще были нереальны из-за закрытости кибер-полиции и недостатка кадров.

Проклятие рода Баскервилей.

Как вы догадались – речь о Java. Т.е. она везде есть, отказаться от неё сложно, поскольку многие сервисы просто перестанут работать. А с другой стороны, обилие в Java дыр, багов и, соответственно, специфической малвары и атак – всё это как-то не создаёт комфорные условия для работы. Парадокс: задуманная как самая секюрная платформа, сейчас Java не ругает только ленивый и именно за несекюрность. Что-то как-то не получается у Oracle совладать с безопасностью. Такое впечатление, что после покупки Sun Java попала у них в категорию low priority. Ну уж очень пахнет остаточным принципом.

А вот интересно: кто действительно отключил Java в своём(их) браузере(ах)?

Poll #1976402 А ты отключил Java в браузере?

А ты отключил Java в браузере?

Да
5(19.2%)
Нет
18(69.2%)
Сомневаюсь
0(0.0%)
Что такое Java?
3(11.5%)


А кто ещё не отключил – срочно ставить патч!

Tags: cyber criminal, cyber warfare, i-news, it industry, malware
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 9 comments