Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.
Loading...

Новости информационной безопасности




Установка центра сертификации на предприятии. Часть 1

Привет, Хабр! Мы начинаем новую серию статей. Она будет посвящена развертыванию службы сертификатов на предприятии на базе Windows Server 2016 с практическими примерами. Сегодня обозначим вступительные моменты и поговорим о типовых схемах развёртывания иерархии PKI: двухуровневой и многоуровневой. Обо всем этом читайте под катом.

l5kmnmr4vwebza_ffcfoxkghjam.jpegЧитать дальше →

Дата: 2018-02-22 09:18:15

Источник: https://habrahabr.ru/post/348944/



Intel возобновила выпуск исправлений для уязвимости Spectre

Обновления стали доступны для процессоров модели Intel Core X, Intel Xeon Scalable и Intel Xeon D.

Компания Intel возобновила выпуск обновлений микрокода, исправляющих второй вариант уязвимости Spectre (CVE-2017-5715). Ранее обновления были доступны только для процессоров Skylake.

В январе 2018 года Intel была вынуждена приостановить выпуск обновлений для опасных уязвимостей Meltdown и Spectre из-за частых перезагрузок и других непредсказуемых действий системы, появлявшихся после установки патчей. 8 февраля компания заявила о выпуске новых исправлений, не нарушающих работу системы, однако данные обновления были доступны только для процессоров Skylake.

Во вторник, 20 февраля, Intel выпустила новую версию обновлений микрокода для ОЕМ-вендоров. Пакет включает обновления для процессоров моделей Kaby Lake, Coffee Lake, а также для Intel Core X, Intel Xeon Scalable и Intel Xeon D - последние два семейства используются в системах центров обработки данных.

Помимо этого, компания выпустила руководство для системных администраторов с подробными сведениями о процессе исправления уязвимостей и опубликовала документ для инженеров с описанием техники Retpoline, позволяющей предотвратить эксплуатацию Spectre v2 на уровне ПО.

Напомним, ранее Intel запустила публичную программу вознаграждения за найденные уязвимости в своих программных и аппаратных продуктах, позволяющую получить до $250 тыс. за найденную проблему.

Дата: 2018-02-22 08:23:00

Источник: http://www.securitylab.ru/news/491701.php



Эксперт «угнал» 700 доменов GitLab менее чем за минуту

На портале GitLab исправлена уязвимость, позволяющая перехватывать домены пользователей.

Исследователю безопасности Эдвину Фудилу (Edwin Foudil), известному под псевдонимом EdOverflow, удалось перехватить сотни доменов GitLab всего за несколько секунд, проэксплуатировав уязвимость в механизме проверки домена.

Портал GitLab позволяет пользователям размещать контент и проекты под собственным доменным именем. 5 февраля текущего года администрация сервиса уведомила пользователей об отсутствии проверки подлинности при привязке домена к учетной записи GitLab. Данная проблема позволяла злоумышленнику обнаружить DNS-записи, указывающие на страницу GitLab с никому не принадлежащим IP-адресом и потенциально перехватить домен. Уязвимость затрагивала всех пользователей, которые создавали, а затем удаляли свои домены с помощью функции GitLab Pages.

1 февраля был опубликован отчет о данной уязвимости, содержащий код PoC-эксплоита. На основе данных из отчета Фудил написал небольшой скрипт для перехвата доменов. Поскольку GitLab позволяет указывать неограниченное количество доменов для одного репозитория, исследователь смог перехватить множество доменов за короткий промежуток времени.

«Я смог перехватить 700 доменов и поддоменов всего за одну минуту», - отметил специалист. По его словам, после перехвата домена злоумышленник потенциально может загрузить на него произвольный контент. В настоящее время проблема уже исправлена .

GitLab - платформа управления Git-репозиториями, анализа кода, отслеживания ошибок, тестирования, деплоя, ведения каналов и вики-страниц. GitLab помогает разработчикам вести непрерывный процесс развертывания для тестирования, создания и деплоя кода, следить за ходом тестов, повышать контроль над качеством, фокусирования на построении продукта вместо настройки инструментов.

Дата: 2018-02-22 07:24:00

Источник: http://www.securitylab.ru/news/491698.php



Уязвимость в Account Kit оставила пользователей Tinder беззащитными против хакеров

Уязвимость позволяла любому желающему перехватить токен авторизации для входа в Tinder.

Разработчикам приложений стоит обратить внимание на то, как они используют инструмент Account Kit от Facebook для идентификации пользователей. Ананд Пракаш (Anand Prakash) из Appsecure обнаружил в нем уязвимость, из-за которой пользователи популярного приложения для знакомств Tinder оказались открытыми для взломов.

Когда пользователь Tinder заходит в свой профиль, используя в качестве логина номер телефона, с помощью сайта AccountKit.com приложение проверяет, действительно ли он является законным владельцем учетной записи.

Система работает следующим образом. На телефон пользователя приходит текстовое сообщение с кодом подтверждения, который нужно ввести на сайте Account Kit. Сайт проверяет подлинность кода и в случае успеха отправляет Tinder токен авторизации, после чего пользователь заходит в свою учетную запись без необходимости вводить пароль. Tinder привязан к номеру телефона, и пока пользователь способен получать текстовые сообщения, он может с легкостью заходить в свой профиль.

Тем не менее, Ананд Пракаш обнаружил, что Account Kit не проверяет подлинность проверочного кода, если его API используется определенным образом. Злоумышленник может использовать номер телефона в качестве параметра new_phone_number в HTTP-запросе, отправляемом API, и тем самым избежать проверки кода, но получить при этом токен авторизации. Другими словами, можно отправить Account Kit любой номер телефона и получить токен в качестве cookie-файла в HTTP-ответе на запрос, отправленный API.

Пракаш сообщил о своем открытии Facebook и Tinder и получил от них $5 тыс. и $1,25 тыс. соответственно в рамках программ выплаты вознаграждений за обнаруженные уязвимости. Исследователь опубликовал подробности о проблеме после выхода исправлений. Никаких свидетельств эксплуатации уязвимости в реальных атаках обнаружено не было.

Дата: 2018-02-22 06:53:50

Источник: http://www.securitylab.ru/news/491697.php



Правительство утвердило правила госконтроля безопасности объектов КИИ

Значимые объекты информационной инфраструктуры ждут внеплановые проверки.

Правительство РФ утвердило правила государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры страны (КИИ). Соответствующее постановление опубликовано на официальном портале правовой информации.

Согласно документу, правила устанавливают порядок осуществления органом госконтроля (федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры РФ и его территориальными структурами) мероприятий по государственному контролю в области обеспечения безопасности значимых объектов КИИ.

Госконтроль проводится в целях проверки соблюдения субъектами КИИ требований закона «О безопасности критической информационной инфраструктуры Российской Федерации». Государственный контроль проводится путем проведения плановых и внеплановых выездных проверок, отмечается в постановлении.

О плановой проверке субъекты КИИ будут уведомлены «не менее чем за три дня» до ее проведения. В числе оснований для внеплановых проверок указаны истечение срока выполнения субъектом КИИ предписания об устранении нарушения требований в области обеспечения безопасности; компьютерные инциденты, повлекшие негативные последствия; приказ об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

О внеплановой проверке органы госконтроля должны уведомить субъект КИИ не менее чем за 24 часа, за исключением случаев, когда речь идет о компьютерных инцидентах, тогда проверка может быть проведена незамедлительно.

Закон о безопасности критической информационной инфраструктуры РФ вступил в силу 1 января 2018 года. Закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

Под объектами КИИ понимаются информационные системы госорганов, предприятий оборонно-промышленного комплекса, организаций здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Дата: 2018-02-22 06:51:09

Источник: http://www.securitylab.ru/news/491696.php



Экономические консультанты Белого дома назвали РФ «хакерской державой»

Совет экономических консультантов при президенте США внес РФ в список стран, представляющих киберугрозу.

Совет экономических консультантов при президенте США составил список так называемых «хакерских держав», куда вошли Россия, Иран, Китай и КНДР. Об этом сообщается в 62-страничном докладе совета под названием «Стоимость вредоносной киберактивности для экономики США» («The Cost of Malicious Cyber Activity to the U.S. Economy»).

В своем докладе экономисты выделили шесть категорий киберпреступников в зависимости от преследуемых ими целей. В первую вошли государства, вовлеченные в международное соперничество. Сюда входят вышеупомянутые Россия, Иран, Китай и КНДР. Государственные хакеры преследуют политические, экономические, технологические и военные цели, говорится в докладе.

Далее следуют корпорации-конкуренты, жаждущие заполучить в свои руки чужие производственные секреты и интеллектуальную собственность. Многие из них финансируются государством.

Третья категория – «хактивисты», чья активность в киберпространстве носит характер акций протеста. Их действия носят пропагандистский характер, а ущерб организациям наносится из идеологических соображений.

В четвертую категорию входят организованные киберпреступные группировки, осуществляющие таргетированные атаки с целью получения прибыли. Далее следуют так называемые «оппортунисты» - непрофессиональные хакеры, жаждущие известности. В своих атаках они используют широкодоступные техники и коды. В последнюю категорию входят инсайдеры – действующие или бывшие сотрудники компаний, движимые жаждой мести или наживы.

Согласно докладу, в прошлом году источники 75% кибератак и утечек находились за пределами США и только 25% - на территории страны. 18% атак были осуществлены правительственными хакерами, а 51% - организованными преступными группировками. Главными источниками кибератак являлись РФ, Северная Корея, Иран и Китай.

Совет экономических консультантов – группа академических экономистов при президенте США; часть системы исполнительной власти США. Был учрежден в 1946 году. Совместно с президентом оказывает определяющее воздействие на формирование экономической политики страны. В Совет входят три экономиста, и один из них является председателем.

Дата: 2018-02-22 05:53:41

Источник: http://www.securitylab.ru/news/491695.php



Российским офицерам выдали защищенные мобильные телефоны

Аппаратная и программная составляющая телефонов полностью отечественного производства.

Командирам российской армии, имеющим доступ к документам «особой важности» (высшая категория секретности в РФ), начали выдавать защищенные мобильные телефоны М-633С «Атлас». Новые устройства позволяют выходить на зашифрованные каналы коммуникаций через гражданские сотовые сети, в том числе из-за границы, сообщают «Известия».

Как рассказали изданию в Минобороны, стоимость одного такого телефона составляет 115 тыс. рублей. Аппарат разработан на базе гражданской модели GSM-телефона SMP-АТЛАС/2, однако в варианте для военных был добавлен ряд мер по защите от физического воздействия. В частности, телефоны обладают металлопластиковым корпусом с противоударной прорезиненной накладкой, сапфировым стеклом и способностью принимать звонки при температурах от -20 до +50 градусов, а также после получасового погружения в воду на метровую глубину. Устройство оснащено цветным дисплеем и MP3-плеером. Вес аппарата составляет 130 г.

Новая модель мобильного телефона оснащена аппаратной криптографической защитой речевой информации, выполненной в виде специального блока, шифрующего сигнал. Устройство работает с SIM-картами «Мегафона», поскольку только у этого оператора связи есть лицензия на шифрованную связь. Лимит средств на переговоры равномерно распределен между пользователями и составляет 24 млн рублей в год. В телефоне также предусмотрена возможность активации дистанционного режима пропажи, при котором аппарат обеспечивает экстренное стирание ключей шифрования.

Аппаратная и программная составляющая телефонов полностью российские. Устройство выпускается ограниченной партией – порядка 100 единиц в год. Каждый телефон собирается по индивидуальному заказу вручную на ФГУП «Научно-технический центр «Атлас».

Дата: 2018-02-22 05:35:00

Источник: http://www.securitylab.ru/news/491694.php



В России может появиться своя киберполиция

Вопрос о возможности создания киберполиции будет рассмотрен в Совфеде в следующем месяце.

В конце следующего месяца в Совфеде РФ пройдут слушания, посвященные вопросу ужесточения наказания за педофилию. Помимо прочего, в ходе слушаний будет рассматриваться возможность создания в России киберполиции для борьбы с преступлениями, совершаемыми в киберпространстве. Об этом в среду, 21 февраля, сообщила руководитель рабочей группы по совершенствованию мер защиты несовершеннолетних сенатор Елена Мизулина.

Идея создания российской киберполиции принадлежит директору некоммерческой организации «Мониторинговый центр по выявлению опасного и запрещенного законодательством контента» Анне Левченко. На заседании рабочей группы Левченко отметила острую необходимость в создании ведомства, занимающегося расследованием преступлений в интернете, в частности детской порнографии. По словам Мизулиной, предложение Левченко по созданию киберполиции весьма интересно и будет включено в проект рекомендаций к предстоящим парламентским слушаниям.

Руководитель рабочей группы также намерена уточнить у Роскомнадзора, отправляет ли регулятор данные по заблокированным сайтам с детской порнографией в МВД. Если ведомство не отчитывается перед МВД о закрытых порнографических ресурсах, тогда следует внести изменения в законодательство и утвердить нормы, обязывающие Роскомнадзор предоставлять вышеупомянутые сведения правоохранителям, считает сенатор.

Дата: 2018-02-22 04:47:35

Источник: http://www.securitylab.ru/news/491693.php



Kaby Lake и Coffee Lake тоже получили защиту от Spectre

Intel продолжает обновлять и тестировать микрокод для защиты своих продуктов от эксплойта уязвимостей Spectre и Meltdown. В минувший вторник исполнительный вице-президент компании Навин Шеной (Navin Shenoy) объявил о готовности новых патчей для процессоров с микроархитектурой Kaby Lake, Coffee Lake и еще нескольких платформ на базе Skylake.

Напомним, Intel пришлось дорабатывать первоначальные заплатки для Spectre из-за проблем, возникших у пользователей после их установки. Обнаружив причину, разработчик призвал всех приостановить развертывание дефектного микрокода, и заново запустил процесс, включив в него всестороннее тестирование силами клиентов и партнеров.

Первые производственные версии доработанного микрокода были выпущены 7 февраля; они предназначались для нескольких Skylake-платформ и были сразу переданы партнерам Intel для подготовки новых прошивок.

Новый выпуск, по словам Шеноя, охватывает продуктовые линейки Intel Core шестого, седьмого и восьмого поколений, новейшее семейство процессоров Intel Core X-series, а также недавно анонсированные процессоры Xeon Scalable и Xeon D для дата-центров. Доработанный микрокод пользователи в большинстве случаев получат через OEM-провайдеров в виде обновления прошивки.

Насколько известно, защиту от атак Spectre по второму сценарию (branch target injection) Intel реализовала, добавив функциональность IBRS, позволяющую во время работы разрешать и запрещать спекулятивное выполнение косвенных переходов. Анонсируя новый выпуск, Шеной отметил, что в данном случае возможны и другие решения по защите от эксплойта. К примеру, Google разработала особую программную сборку — последовательности retpoline, позволяющие исключить вовлечение механизма спекулятивного выполнения для косвенных переходов.

Со степенью готовности патчей для продуктов Intel можно ознакомиться, заглянув в сводную таблицу на сайте компании. Так, согласно этому документу, обновления для Sandy Bridge, Ivy Bridge, Haswell и Broadwell в настоящее время проходят бета-тестирование.

Дата: 2018-02-22 02:58:25

Источник: https://threatpost.ru/spectre-patched-in-kaby-lake-coffee-lake/24749/



Конференция ФСТЭК: новые правила сертификации средств защиты

, сегодня поговорим о второй части конференции ФСТЭК, посвященной сертификации. Во вчерашнем обзоре достижений российского рынка сертифицированных решений я обратил внимание на снижение числа продуктов, прошедших оценку соответствия и предрек еще большее снижение этого числа, вызванное готовящимися правилами сертификации ФСТЭК, о которых регулятор говорил на конференции на прошлой неделе.

Как мы помним вся сертификация сегодня базируется на артефакте времен перестройки - Постановлении Правительства №608 от 1995 года. 23 года! Немыслимый срок, в течение которого изменилось все (даже Президент) - технологии, производители, руководство ФСТЭК, продукты, угрозы, нарушители, геополитическая ситуация. А подходы к сертификации оставались теми же, что и во время, когда кроме гостайны у нас почти и не было никакой защищаемой информации. В 2010-м году была сделана попытка с выходом 330-м Постановления Правительства, которое регулировало вопросы сертификации средств защиты персданных и государственных информационных ресурсов. Безуспешно. В 2012-м году ФСТЭК попробовала еще раз урегулировать этот вопрос, но уже через информационное сообщение. Правительство же в том же году решило навести порядок с оценкой соответствия, но оставило в стороне тему защиты информации. И вот пришел через для нашего с вами направления деятельности. По решению Совета Безопасности подготовливается новый НПА - "Положение о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации". Именно о нем и шла речь в докладе Дмитрия Шевцова.
Screen%2BShot%2B2018-02-21%2Bat%2B22.20.38.png

За 23 года накопилось немало проблем в сертификации, поэтому изменений процесса тоже будет немало. Я попробую тезисно выделить некоторые из тех, что мне запомнились из доклада:
  • До 1-го апреля должно быть разработано новое положение, которое затем уйдет в Правительство и Минюст. Можно предположить, что летом у нас будут новые правила сертификации средств защиты.
  • Сроки действия сертификатов будут увеличены до 5 лет. Этот срок распространяется на заявителя. Потребитель, не являющийся заявителем, может эксплуатировать средства защиты вне зависимости от срока действия сертификата при выполнении следующих условий:
    • не истек срок эксплуатации, установленный заявителем на сертификацию (при его наличии);
    • заявитель осуществляет техническую поддержку сертифицированной продукции;
    • применение продукции не противоречит требованиям по защите информации, установленным ФСТЭК;
    • ФСТЭК не запретила применение продукции и сведения о сертификате соответствия на продукцию находятся в реестре на сайте регулятора.
  • Устанавливаются более жесткие требования к заявителям. Включение требований к потребителям продукции, которые могут быть заявителями. Предъявление новых требований к разработчикам продукции (часто разработчик и заявитель - это разные лица; например, для иностранных средств защиты). Все разработчики средств защиты, зарегистрированные на территории России, должны будут иметь лицензию ФСТЭК на разработку средств защиты.
  • ФСТЭК начинает "драть" разработчиков, которые не способны поддерживать сертифицированные изделия. Например, был публично приведен пример компании РНТ, у которой планируется отозвать 4 (!) сертификата (включая на "Форпост") за отказ от устранения уязвимостей в open source части продукции. Также ФСТЭК применяет метод "контрольных закупок" через звонки в службы техподдержки производителей от имени потребителей.
  • Изменение схем сертификации продукции. Производители средств защиты теперь смогут сертифицировать свои решения только по схеме "серия". Никаких партий или единичных экземпляров. А вот потребители смогут сертифицировать средства защиты только по схемам "единичный экземпляр" или "партия". В целом, это логичное разделение, хотя проблему с огромным количеством сертификатов на один и тот же продукт не решит. Например, на Cisco ASA выдано около 50-60 сертификатов ФСТЭК для разных заявителей. Поддерживать такой зоопарк достаточно сложно.
  • Детализация заявки на сертификацию. Если средство защиты иностранного происхождения и разработчик не имеет лицензии ФСТЭК на разработку, то сертификация будет проводиться только при наличии письма от потребителя о необходимости применения такого средства. Это вступает в некоторое противоречие с тем, что разработчик может сертифицировать только по схеме "серия". Но принятый курс на импортозапрещение подсказывает, что по другому и быть не могло. Число сертификаций зарубежных решений еще больше уменьшиться. Не каждый заказчик захочет "подставляться" и писать письмо регулятору с признанием, что хочется применять продукты нероссийского происхождения.
  • Установление требований по защите информации ограниченного доступа и коммерческой тайны заявителя.
  • Детализация процедур сертификации и установление точных сроков выполнения процедур сертификации. Например, для иностранных продуктов теперь будет требоваться сертификация только на территории России. Вот это требование, я боюсь, поставит крест на сертификации всех иностранных вендоров, которые пока еще тратят деньги на сертификацию в России. Одно дело предоставлять доступ к исходникам (а сейчас почти при любой сертификации это требуется в той или иной степени) или вывозить представителей испытательной лаборатории на место производства, и совсем другое дело - передавать исходные коды испытательной лаборатории (даже при включении в договор требований о сохранности коммерческой тайны). Есть, конечно, вариант с созданием западными вендорами собственных площадок на территории России, но пока этот путь еще никто не проходил и неизвестно вообще возможен ли он юридически?
Screen%2BShot%2B2018-02-21%2Bat%2B22.20.49.png

Вот такая картина вырисовывается с готовящимися правилами сертификации средств защиты. Стремление ФСТЭК усилить контроль за заявителями и ужесточить требования к сертификации понятно, но оцениваются ли последствия принимаемых решений? Сегодня до сих пор не менее половины средств защиты, используемых теми же госорганами, - это иностранные решения. Если их не станет, то успеет ли российский рынок предложить соответствующую замену? Судя по вчерашнему обзору, отечественные разработчики пока не спешат занять высвобождающуюся нишу.

А вообще с наступающим всех праздником! Ведь это праздник не только защитников Отечества, но и киберзащитников киберотечества :-) Так что с праздником - одним или с двумя сразу!

7528545.png

Дата: 2018-02-22 02:19:05

Источник: http://lukatsky.blogspot.com/2018/02/blog-post_22.html