Хакеры и глобальный взлом

Использование стойкого к подбору и взлому пароля является основой эффективной защиты компьютера от злоумышленников. Традиционно возглавляют списки такие пароли, как, например, «123456» и «password». Но вместо того, чтобы навязывать пользователям утомительные правила выбора сложного пароля, Microsoft решил использовать готовые списки из открытых источников и внести их в «чёрный список».

Развенчан популярный миф о паролях: частая смена пароля для доступа к ящику электронной почты или странице в социальной сети отнюдь не способствует повышению уровня безопасности, а наоборот— снижают его, одновременно увеличивая риск взлома учетной записи злоумышленниками.

Об этом заявила Лори Кранор, эксперт по технологиям Федеральной торговой комиссии США.

Как пишет Business Insider, Кранор уверена, что требование компаний к сотрудникам о необходимости менять пароли раз в месяц негативно влияет на уровень безопасности, потому что сотрудники не могут каждый раз придумывать сложный пароль. Вместо этого они вынуждены использовать более простые сочетания символов, и это играет на руку взломщикам.

Точку зрения Кранор поддерживает и известный эксперт в области информационной безопасности Брюс Шнайер. В своем блоге он пишет, что частая смена паролей приводит к тому, что они становятся более «слабыми». «Я говорил об этом на протяжении многих лет», — подчеркивает он.

В то же время Шнайер отмечает, что пароли менять все же следует — например, если они были скомпрометированы или похищены злоумышленниками в результате взлома.

Источник

hacker 56

Можно ли взломать атомную электростанцию по Интернету?

Можно ли устроить энергетический конец света по Интернету? Вломиться в сеть, объединяющую электростанции и плотины — и оставить целые страны без электричества, а иные и вовсе затопить? Что такое безопасность энергетической инфраструктуры в эпоху Интернета вещей? «ПМ» отвечает на эти вопросы.

Каждый знает поисковую систему Google. Но не все понимают, что по сути это виртуальная адресная книга, информация в которой непрерывно обновляется при помощи особых поисковых программ, так называемых пауков и кроулеров. Круглые сутки и круглый год полчища этих цифровых насекомых снуют по кружевам глобальной паутины в поисках сайтов или отдельных страниц — виртуальных объектов, построенных из единиц и нулей.

В отличие от Google, «пауки» почти неизвестных рядовому пользователю систем Shodan и Thingful прочесывают закоулки Сети в поисках «железа» — любых гаджетов с интернет-каналом, от безобидных принтеров и веб-камер до кардиостимуляторов и датчиков паровых турбин на электростанциях.

Тушите свет

Сразу после релиза в 2009 году Shodan получил от представителей желтой прессы клеймо «Черного Google для хакеров» и предвестника грядущего цифрового Армагеддона. Впрочем, у профи, находящихся по обе стороны цифровых баррикад, эта истерика вызвала лишь снисходительную улыбку. Серьезным преступникам (или на сетевом сленге — «черным шляпам») Shodan не нужен. А их оппоненты рассматривают сервис как отличный инструмент для исследования давно существующей, но при этом практически не изученной «сумеречной зоны» Сети, в которой обитает не менее 4,8 млрд умных устройств с уникальными IP-адресами. Джон Мазерли, разработчик скандального поисковика, называет себя первым картографом Интернета вещей. И, пожалуй, это точное определение, ведь результаты поисковых запросов Shodan отображает с привязкой объектов к географической карте.

Сам по себе Shodan безобиден, но появление этого сервиса позволило нам заглянуть в сетевое Зазеркалье и осознать масштаб угрозы, нависшей над миром, считает эксперт по киберзащите Дэн Тентлер из компании AtenLabs. Дело в том, что индустриальные системы управления (SCADA) и их базовые элементы — программируемые логические контроллеры — разработаны еще до эпохи интернета. И сегодня они стали легкой добычей для злоумышленников всех мастей, от вандалов-одиночек до военных разведок. 15 лет назад никто не мог предположить, что время корпоративных сетей, изолированных от внешнего мира, уйдет в историю столь стремительно и почти 1,7 млрд устройств с нулевой защитой от взлома окажутся «голыми» перед более-менее серьезной хакерской атакой. Особенно тревожно, что немалая их часть сосредоточена в недрах энергосистем.

Эксперимент Aurora, проведенный в 2007 году в Айдахо, наглядно продемонстрировал, как генератор мощностью 2,25 МВт и массой 27 т в считаные минуты разлетается вдребезги в результате дистанционного вторжения в систему контроля. Чуть больше года назад компания Symantec сумела идентифицировать и пресечь попытки внедрения троянских программ в системы SCADA на объектах энергетики в Европе, США и Канаде. Атака группы хакеров под условным названием Dragonfly на этот раз захлебнулась, но в случае успеха их мог ждать джекпот в виде серии блэкаутов национального масштаба. Более того, вероятный сценарий катастрофы уже известен.

В XXI веке прокачанные «злыми гениями» компьютерные вирусы и черви вспарывают стены стратегических объектов эффективнее авиабомб и крылатых ракет. Вспомним инцидент 2010 года с физическим повреждением сетевым червем Stuxnet 984 газовых центрифуг для обогащения урана в иранском ядерном центре в Нетензе. Тогда атакующие, предположительно спецслужбы США и Израиля, проникнув в установочные файлы контроллеров Siemens S7−400 и модули обмена данными Profibus, при помощи аварийных команд вывели центрифуги из строя. Иранцы же были уверены, что оборудование работает в штатном режиме. Для внедрения червя были «втемную» использованы пять компаний-поставщиков оборудования и их неосторожные сотрудники, пользовавшиеся зараженными флешками.

hacker 51

План вторжения

В июле 2015 года страховая компания Lloyd’s опубликовала объемный рапорт с описанием последствий «маловероятного, но технически осуществимого» взлома элементов SCADA энергосистемы Северо-востока США и перехвата нитей управления технологическими процессами вымышленной троянской программой Erebos. По легенде, Erebos в целях конспирации будет собран из множества безобидных фрагментов группой высокотехнологичных злодеев, сумевших анонимно привлечь к проекту независимых программистов.

На то, чтобы инфицировать системы управления электростанций, у хакеров уйдет не менее года. Как это произойдет, неизвестно, но британцы считают, что атакующие испробуют все имеющиеся возможности: от подкупа сотрудников и взлома почты до проникновения за периметр «на плечах» поставщиков оборудования, как это было в случае со Stuxnet. Сразу после успешного вторжения преступники на полгода залягут на дно и приступят к зондированию целей.

Жесткая конкуренция между генерирующими компаниями и отсутствие «вертикали власти» в энергосистеме региона, с одной стороны, не позволяет хакерам запустить цепную реакцию отключений, но с другой — играет им на руку, так как сводит к минимуму оперативный обмен данными о текущих проблемах между потенциальными жертвами. Все это время Erebos ведет себя тише воды, ниже травы, «на ощупь» определяя возможные лазейки к пультам управления электростанций. При встрече с мощной киберзащитой троян притворяется цифровой «ветошью», впадает в анабиоз, но стоит ему заметить хотя бы малейшую слабину в линии обороны — и вот он уже на новом уровне. В итоге, по версии Lloyd’s, к моменту атаки Erebos удается закрепиться лишь на 10% стратегических целей. Что само по себе почти триумф, так как эти 10% означают успешный взлом систем управления дюжины ключевых электростанций.

Наконец, в один прекрасный день под грохот срывающихся с фундаментов турбин и вой пожарных сирен дежурные операторы электростанций в недоумении замирают у мониторов. 50 из 70 генераторов мгновенно выходят из строя, а остальные 600 федеральные власти останавливают в превентивном порядке до выяснения причины аварий. На территории с населением 93 млн человек полностью прекращается электроснабжение. Останавливаются предприятия, гаснут экраны телевизоров и светофоры, замолкают мобильники, а диспетчерские службы аэропортов экстренно переходят на аварийное питание и закрывают небо над 15 штатами и федеральным округом Колумбия.

Несмотря на то что для возобновления подачи напряжения властям потребуется от трех до 14 суток, последствия блэкаута будут ощущаться не менее года. Эксперты Lloyd’s подсчитали, что только прямые экономические потери в результате операции, подобной Erebos, составят от 243 млрд до $1 трлн. Но ущерб от таких диверсий может быть еще на порядок выше в случае атаки на крупные, вертикально интегрированные энергосистемы со сквозным обменом данными, однотипной архитектурой SCADA и слабой киберзащитой. Страшно представить последствия «падения» энергосистемы где-нибудь в Восточной Сибири, да еще зимой…

Крутой Уокер

Чтобы достойно встретить эти угрозы, нужно поменять стратегию, считает глава программы по кибербезопасности агентства DARPA Майк Уокер. По его мнению, нынешняя модель круговой обороны, при которой «белые шляпы» — «добрые хакеры» — вынуждены непрерывно контролировать корпоративные сети, заведомо проигрышна. Радикальное подавление сетевой преступности будет возможно лишь тогда, когда потери атакующих будут соизмеримы с потерями обороняющихся. Охота должна превратиться в отстрел самих охотников. Взломщиков экстра-класса, киберманьяков и спецслужбы это, разумеется, не остановит. Зато уравняет шансы сторон, а заодно очистит Сеть от мелких хулиганов, уверен Майк.

Мечта Уокера и его коллег — полностью автоматический сервис по мониторингу и предотвращению кибервзлома. Ничего подобного в настоящее время не существует: современный уровень технологий киберзащиты напоминает ситуацию с программами для игры в шахматы середины XX века. Когда в 1950 году выдающийся математик и автор теории информации Клод Шеннон опубликовал «дорожную карту» по разработке шахматного алгоритма, способного на равных биться с настоящими гроссмейстерами, многие его коллеги крутили пальцем у виска. Тем не менее в 1997 году машина DeepBlue положила на лопатки Гарри Каспарова.

По аналогии с шахматами, Уокер намерен столкнуть лбами реальных хакеров и тех, кто пытается с ними бороться. Именно поэтому в 2014 году под эгидой DARPA было организовано уникальное состязание под названием Cyber Grand Challenge (СGС) с призовым фондом $2 млн. СGС — это жесткая игра «всех против всех», по условиям которой созданные участниками программные комплексы должны одновременно отбивать внешние вторжения и контратаковать своих оппонентов.

Состязание вызвало беспрецедентный интерес в IT-сообществе, и на его старт вышло более ста команд. В июле 2015 года после серии отборочных раундов были определены семь команд-финалистов. Для подготовки к решающей схватке бойцы” получили от DARPA годовой доступ к своему облачному суперкомпьютеру, нам же остается дождаться следующего августа, когда этих скорпионов запустят в банку на хакерской конференции DefCon 2016… Разумеется, в первую очередь роботы-антихакеры будут «трудоустроены» в самых горячих точках Сети, включая стратегические объекты жизнеобеспечения. Но когда именно это произойдет — неизвестно. Пока же, под впечатлением доклада Lloyd’s, Департамент энергетики США пытается ускорить исследования в области киберзащиты энергосистем. Так, в октябре 2015 года на эти цели были выделены первые $34 млн. Негусто, но лиха беда начало.

Попытки устроить беспорядки в системах жизнеобеспечения неизбежны, считают эксперты. Не успела утихнуть история со Stuxnet, как в 2012 году стало известно о новой крупной кибердиверсии в энергетике. На этот раз объектом атаки хакеров стали крупная нефтяная компания Saudi Aramco и катарский газовый гигант RasGas. Пострадавшие не стали обнародовать полную информацию об ущербе, но предположительно червь Shamoon обнулил данные на жестких дисках как минимум 55 000 рабочих станций. В том же году на Ближнем Востоке обнаружилось, что «червеобразная» программа Flame, уникальная по сложности и способности незаметно встраиваться в программные файлы всех версий Windows, в течение нескольких лет скачивала стратегическую информацию с тысяч зараженных ею компьютеров в Иране, Сирии, Египте и странах Персидского залива.

Источник

hacker 52

Автомобили можно взламывать через интернет

Специалист по кибербезопасности Бенджамин Кунц Менджри из компании Vulnerability Labs обнаружил две опасных уязвимости на фирменном портале BMW ConnectedDrive, которые позволяют злоумышленникам получать доступ к чужим автомобилям.

ConnectedDrive представляет собой многофункциональную информационно-развлекательную систему. С её помощью водитель может пользоваться интернетом, слушать онлайн-музыку и смотреть потоковое видео, а также делать ещё много разных вещей. Звучит интересно, но есть пара проблем.

Первая проблема относится к уязвимостям session vulnerability и позволяет злоумышленникам узнать VIN чужого автомобиля. Идентификационный номер выступает в роли логина для учётной записи ConnectedDrive, он же используется для синхронизации системы в автомобиле с аккаунтом пользователя. Подмена настроек на портале через интернет приведёт к тому, что они будут изменены и в автомобиле ничего не подозревающей жертвы.

Уязвимость позволяет обойти валидацию VIN и использовать вместо него VIN другого автомобиля, а после этого изменить его настройки. Доступ к ConnectedDrive позволяет, к примеру, открывать и закрывать автомобиль, читать электронную почту, получать информацию от навигационной системы об истории поездок и передвижениях в реальном времени, редактировать список загруженных музыкальных треков, управлять системой климат-контроля и световыми приборами.

Вторая проблема относится к уязвимостям cross-site scripting, которую удалось обнаружить на странице сброса пароля ConnectedDrive. Это позволяет злоумышленникам получить доступ к персональным данным владельца автомобиля. По словам Бенджамина, он уведомил BMW о найденных проблемах ещё в феврале нынешнего года, но даже спустя пять месяцев баварцы так их и не исправили.

Источник

hacker 53

Microsoft запрещает некоторые пароли

Многие пользователи не утруждают себя выбором сложных паролей и становятся жертвами хакеров, но специалисты компании Microsoft придумали изящное решение этой проблемы. Они просто составили динамически обновляемый список худших паролей и больше не позволят вам их использовать!

Использование стойкого к подбору и взлому пароля является основой эффективной защиты компьютера от злоумышленников. Сервис SplashData регулярно составляет ежегодные списки самых неудачных паролей на основе более чем двух миллионов взломанных компьютеров Северной Америки и Европы. Традиционно возглавляют списки такие пароли, как, например, «123456» и «password». Но вместо того, чтобы навязывать пользователям утомительные правила выбора сложного пароля, Microsoft решил использовать готовые списки из открытых источников и внести их в «чёрный список».

База данных худших паролей будет постоянно обновляться на основе свежих утечек. Таким образом специалисты планируют постепенно избавить пользователей от слишком простых, чересчур распространённых и откровенно небезопасных паролей, помогая им защитить свои компьютеры. Microsoft утверждает, что уже запустил «умную» систему выбора пароля в своих сервисах и каждая придуманная пользователем комбинация символов сверяется с «чёрным списком». Если пароль присутствует в базе данных, сервис вежливо попросит придумать более сложную комбинацию символов.

Источник

hacker 55

Топ 5

Комментарии

Читайте также: