Ай-да новости: как "Телега" проехала по "Иот".

Previous Entry Поделиться Next Entry
14 мая, 8:21
e_kaspersky
Снова в эфире рубрика разбора всяческих интересных и важных киберновостей. Они хоть и несутся на нас нескончаемой лавиной, некоторые хочется выделить и почитать между строк.

За последние несколько недель меня много раз просили прокомментировать ситуацию с блокировкой Telegram в России. Честно говоря, лично меня эта история никак не коснулась – ни напрямую, ни опосредованно. Всё, чем я пользуюсь работало, работает и… ну, не будем загадывать :)

Ситуация странная нестандартная непонятная идиотская … даже трудно ёмко в одном прилагательном описать какая это ситуация, которая больше всего напомнила слона в посудной лавке. Увы, противостояние между политикой и Интернетом крепчает с каждым днём. В прошлом году мы это почувствовали на себе сполна. Во что это противостояние выльется предсказать трудно. Пока ясно, что «рубильник» против «софта» как-то не очень работает.

С другой стороны, блокировка неожиданно аукнулась не каким-то ИП «Рога и копыта», а серьёзным ребятам типа Amazon и Google. Да что далеко ходить, и наши корпоративные блоги на несколько часов слегли.

Этот «рикошет» натолкнул меня на мысль о вечных истинах – делаешь дело, делай хорошо! Разрабатывать продукты надо так, чтоб никакого рикошета не бояться. Иначе любой системный сбой выбивает из колеи. Всегда должен быть бекап, и ещё бекап на бекап. Только так выживем в нынешней буре, когда не знаешь из-за какого угла может прилететь.

Кстати, история с блокировкой Telegram неожиданно аукнулась и в «интернете вещей». Да-да, том самом, где живут «умные» чайники, утюги и прочие кофемолки. Вроде блокировали мессенджер, а не работают-то заодно ещё и «умные» дома, оплата по безналу, игровые приставки да зубные 3D сканеры. Вот тут подсказывают, что детские часы тоже недели две лежали в ауте. И вот в этот момент сразу становится очевидной степень нашей уязвимости, онлайн зависимости и… (снова затрудняюсь подобрать эпитет) «рубильника».

К слову о зубных сканерах: на прошлой неделе было обнародовано расследование про очень неприятного зловреда Orangeworm, который на протяжении нескольких лет атаковал больницы по всему миру. Червь «прогрызал» не простые компьютеры, а медоборудование – рентгены, МРТ и прочие хитрые медаппараты. Благо, не нанесли никакого физического вреда, а могли бы… И это уже не шутки!

Или вот ещё расследование про «заводы-пароходы». Группа киберпиратов «Золотой галеон» через атаки на корпоративную почту выманила у судоходных компаний почти $4млн. Неплохой улов, построенный на низкой защите индустрии и неграмотности сотрудников судоходного бизнеса в делах кибербезопасности. Как это часто бывает, пробирались в системы «галеонцы» через фишинговые письма – самозванцам большой хитрости не потребовалась, недоверия письма не вызвали.

Ну и последний «ужастик» на эту тему уязвимости. В сети случайно обнаружился открытый доступ к пульту управления канатной дороги в Инсбруке. При желании можно было остановить, ускорить, развернуть любую кабину. Представляю, как «приятно» было бы пассажирам испытать все прелести ручного управления на высоте. Сколько ещё таких пультов в свободном доступе, даже знать не хочу! В следующий раз хоть ёлочкой заползай на гору.

Ладно! Хватит. Надо и о хорошем вспомнить.

В апреле 34 технологические компании подписали очень важное соглашение, о необходимости которого я твержу годамиCybersecurity Tech Accord. Если вкратце - участники договорились не помогать правительствам с кибератаками и защищать своих пользователей, несмотря ни на что. По мне так это соглашение - логичный шаг к созданию неправительственного международного органа для хоть какого-то упорядочения сферы кибербезопасности с целью её ограждения от политики. Учитывая нынешний накал геополитических страстей, это ОЧЕНЬ нужно. Нужно как никогда.

tweet-techaccord

А вот в Европе вот-вот вступит в силу важный регламент по обработке персональных данных – GDPR. Закон, который я приветствую двумя руками, как и в целом тренд на более вдумчивое отношение к своим персональным данным. GDPR коснется не только компаний внутри ЕС, он распространится на всех, чей бизнес связан с обработкой персональных данных граждан Евросоюза. Теперь у пользователей будет больше прав и, следовательно, средств защиты своей приватности. А компаний, не сумевших их обеспечить, ждут весьма ощутимые штрафы – до €20млн или 4% их годового оборота. Надеюсь, что со временем подобные законы будут приняты по всему миру.

Ну и напоследок делюсь с вами подборкой видео с нашей юбилейной десятой конференции кибербезопасников, отгремевшей в марте – SAS 2018.

Было по-мексикански жарко, по-русски весело и, как всегда, полезно для всех участников!





Метки: , ,
Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «i-news»


Нет, все же мне многие вещи не понятнты. Как чайнику. Может специалист понимает, я нет. Например про разные уязвимости, вроде упомянутого в статье медицинского оборудования, а когда то давно вы вроде бы даже писали про потенциальную уязвимость от хакеров АЭС.
Вот кто мне объяснит, НАФИГА ВООБЩЕ подключать АЭС не к изолированному интРАнету даже, что уже выглядит спорно, а ко всемирной сети?!!! Что там, без выхода в Фейсбук атомы урана плутония плохо делятся? Или инженеры - атомщики лазают постоянно в Википедию за инструкциями по управлению станцией?
Зачем на таких объектах вообще Интернет? По крайней мере физически подключенный к технологическому оборудованию? Даже если это удобно в отдельных случаях, не слишком ли нарушен баланс между безопасностью и удобством?

Возможно, червь попадает не из Интернета, а через какие-то программы, скачанные всё-таки из Интернета. Сама АЭС не подключена к Сети. Но скажем Doc Viewer использует.

Придётся повторить известный принцип американских расследований: "Идите за деньгами!". Кому-то (догадайтесь кому) очень выгодно поставлять наворочанейший антивирус, чтобы защитить очень важный софт
В армии США и Израиля есть только Интранет - и нет проблем
А "откровения" выпускника школы КГБ очень милы

Ну а вам то что?
Какая вам-то выгода от ваших личных комментов в этой ветке?

// я просто следую вашим логикам рассуждений..

Так в Иране, в совершенно изолированной сетке, кто-то воткнул флешку в комп. Намеренно или на улице подобрал сдуру - неизвестно. И запустил внутрь штуку под названием Stuxnet. Который тихо пробрался в сименсовские контроллеры управления центрифугами, и в один прекрасный день расхерачил их физически, в хлам — задав контроллерам недопустимые параметры разгона и вращения.


Когда я работал в одной конторе (далеко не военной и не разведовательной, а занимающейся всего лишь безобидными муниципальными делами)- так даже там, еще в 2000-х, все компьютеры внутренней сети были физически лишены всех устройств ввода. Кроме клавиатуры. Если требовалось что то ввести с (тогда еще дискеты) или вывести на нее- так это через сисадмина, наблатыканного в области информационной безопасности. Повторяю- обычная муниципальная контора, у которой и секретов то не было, просто вирусов опасались.
А тут - техника государственной важности , от которой, может даже само существоание государства зависит- подключено к какой то , пусть внутренней, но видимо все же достаточно разветвленной сети, с компами, в которые неведомо кто может воткнуть неведомо какую флешку?!
Тут либо предательство инсайдера с большими полномочиями, либо вопиющая безалаберность. Иных версий нет.

Да уж по IoT кто только не катался... Ждём пополнения в существующего в паблике шодана... А так-то, одна концепция использования IPv6 уже заставляет ржать. Ну просто потому, что как правило устройства IoT живут в ограниченном пространстве, очерченном границами дальнобойности/чувствительности радиоканала, но при этом им пытаются вкрячить адресное пространство из серии «как звёзд на небе».

Всё таки, TI со своими cc1310, cc1350, cc1352 и своей TI-RTOS куда как умнее поступили. Топология сети «звезда», рулить мощностью/чувствительность можно в софте в определённых пределах, в качестве ID устройства можно использовать MAC в виде IEEE 802.15, формировать и парсить пакеты можно самостоятельно, принимать-передавать тоже, да, есть Easy Link. AES там есть и в режиме CCM и в режиме ECB. Но вот всё остальное типа водружения туда contiki и прочих невинных шалостей на предмет сделать из контроллера типа сетевого хоста что-то, с маршрутизацией из говна и палок, это уже на ответственности идиота, не вкурившего буквари от производителя.

А так-то, дело в принципе не в телеге. Если про Роскомнадзор. Демонстративность и жёсткость проведения операции намекают не столько на FSB-style, сколько на Army-style.

Вы имели ввиду под AES ССМ режимом GCM (Galua Counter Mode) ?
Просто не встречал никогда ни ССМ, ни GCM режима.

Не. Это вещи принципиально похожие, но aes gcm это стандарт nist с, ЕМНИП, 2017г.

Про именно CCM с примером для сс1310 здесь -> https://e2e.ti.com/support/wireless_connectivity/proprietary_sub_1_ghz_simpliciti/f/156/t/518981?Could-you-provide-sample-code-for-CC1310-AES-CCM-

В самом низу, пример от pnimma. Последний пример корректен.

Или здесь -> https://e2e.ti.com/support/wireless_connectivity/proprietary_sub_1_ghz_simpliciti/f/156/t/527223?Encryption-in-rfWSN-example-cc1310

Разница в том, что в CCM message auth. это plain text, а в GCM это chiphertext (используются gmac/ghash). Хотя и то и другое позволяют реализовать аутентификацию и обмен присоединённым сообщением. Выгода, окромя очевидного закрытия канала, очевидна — нам не нужно писать подтверждение доставки в радиоканале. Если мы получили от принимающей стороны (граничного роутера) nonce, используем его, то в принципе понимаем что роутер нас слышит. Мы-то его слышим же! И можем получить характеристики радиоканала (RSSI), по которым выставить требуемую мощность в dBm (до 15 max.).

Ну а новые значения nonce мы можем транслировать с граничного роутера с заданной периодичностью. Это позволяет защищаться от прослушивания канала. Например, есть датчик температуры и мы точно знаем что он показывает 26гр. С. Тогда, зная периодичность его отчётов, мы можем имитировать его работу. Например. Случай чисто примера ради.

Я делал вещи типа с AES ECB, но добавлял 1 байт, отбрасываемый при анализе значений и заполнял этот байт рандомно. Но тогда, для контроля надо ещё подтверждение доставки писать.

Вообще, TI-RTOS... Весчь. =)

UPD. ЕМНИП, GCM в ZFS применяется.

Edited at 2018-05-14 14:28 (UTC)

Спасибо. Надо подумать. А с AES ECB да и вообще с AES ,как таковым,никто не мешает внести в алгоритм свои придуманные варианты S-Box. Меняя условный бит получаем свою реализацию .

Да. Только на этом девайсе не особо разгонишься. Этоже для IoT, следовательно каждый байт на счету (есть там режим до 20км. по дальности долбит, правда скорость 78байт/сек, проверено, работает). Ну и по питалову, как Вы понимаете, если, например, счётчик электроэнергии, там вопросов нет. А счётчики воды/газа, которые на батарейном питании, а аккумулятор мы раз в 4 года можем заменить для горячей воды и раз в 6 лет для холодной... Вот там хоть застрелись, а надо как можно меньше грузить проц левыми вычислениями.

Вот и приходится петли вить. А так-то, готовые модули у дядюшки Ляо по 400р. беру. Там... Короче, весчь. =)

Все смотрели фильм Юпитер,что за жатва.Куда девать это оборудование соответствующей лаборатории которая все свое присутствие потратило на пачканье сантехники.Такого железа завод произведет соответствующую тучу.Выдернуть из розетки все эти серваки которые раньше дисками теперь на адаптеры делают дозвоны не составит труда.Все это железо раздастся в руки у кого чешутся.С битой может ролик в ютубе выложат.Програмное обеспечение это еще не вечная жизнь.Заратустра что заками что за тяжесть с проводами...

..................и наши корпоративные блоги на несколько часов слегли.
ну та подайте на них в суд.
одуван вот не языком мелет и статьи пишет...
а нет, пишет и мелет, но в суд подал

............. В апреле 34 технологические компании подписали очень важное соглашение
там есть те, кто пострадал от блокировок?
ну вот пусть дружно подают в суд.
а соглашения принимать и ничего не предпринимать - пустое дело.

Видел вашу рекламу на машинах формулы 1.

ну вот и из Нидерландов выперли...

?

Log in

No account? Create an account