Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




[recovery mode] Как обеспечить соблюдение требований PCI DSS 3.2

Требования в отношении применения средств многофакторной аутентификации для дополнительных групп пользователей, а также необходимость в интеграции дополнительных систем напрямую продиктованы опубликованным ранее дополнительным руководством PCI Supplementary Guidance, которое вступает в силу с февраля 2018 года. С этого момента все пользователи, осуществляющие доступ к таким системам как базы данных, сетевые модули или почтовые серверы, где содержатся данные держателей банковских карт, будут обязаны применять многофакторную аутентификацию. Новое руководство применимо ко всем ролям и локациям: привилегированным и обычным пользователям, удаленным и локальным пользователям.



Мы уже обсуждали новейшие
изменения в стандарте PCI DSS 3.2
, которые главным образом посвящены использованию многофакторной аутентификации (multi-factor authentication, MFA), и которые делают обязательным применение многофакторной аутентификации для пользователей, осуществляющих доступ к среде данных о держателях карт (cardholder data environment, CDE) из офиса.

Цель этого дополнительного руководства заключается в создании стандартов передовой практики для тех компаний, перед которыми стоит задача расширить область применения многофакторной аутентификации, а также для тех, кто задумывается, как наилучшим образом обеспечить соблюдение требований к аутентификации, предъявляемых в стандарте PCI DSS.

В руководстве PCI упоминаются некоторые ключевые принципы многофакторной аутентификации.

  1. Механизмы многофакторной аутентификации должны работать независимо друг от друга и не должны компрометировать друг друга, то есть при аутентификации доступа факторы аутентификации не должны зависеть друг от друга.
  2. Используемые пароли должны быть защищены и должны быть трудноугадываемыми. Аппаратное обеспечение и биометрические данные должны храниться в надежном и безопасном месте, не допускающем создания неавторизованной копии.
  3. Необходимо принимать во внимание особенности местного законодательства и нормативных актов, поскольку не исключено наличие дополнительных локальных требований.

Примеры передовых практик


Для организаций, еще не внедривших средства многофакторной аутентификации:

Наш совет организациям, еще не установившим решения для многофакторной аутентификации, заключается в следующем: необходимо выбрать такое решение для многофакторной аутентификации, которое бы учитывало все сценарии использования, предусмотренные стандартом PCI. Кроме того, важно убедиться в том, что рассматриваемое MFA решение поддерживает самые различные приложения. Это позволит ИТ-подразделению внедрить единый инструмент, который будет удовлетворять всем требованиям стандарта PCI в отношении всех пользователей, обеспечивая защиту необходимых приложений.

Для организаций, которым необходимо расширить сферу применения средств многофакторной аутентификации и использовать их в новых сценариях:

Для организаций, уже внедривших решения для многофакторной аутентификации, но которым необходимо расширить сферу их применения в том числе для управления сетевым доступом, подобный проект позволяет консолидировать инструментов аутентификации в единую платформу, которая будет удовлетворять требованиям стандарта PCI и другим постоянно меняющимся регуляторным требованиям. Среди возможных решений можно рассмотреть использование смарт-карт PKI, позволяющих использовать многофакторную аутентификацию для сетевого доступа, привилегированного доступа, удаленного доступа и логического доступа с помощью единого решения, что позволяет свести к минимуму административную нагрузку на ИТ и обеспечивает чрезвычайно удобный пользовательский опыт.

Для тех, кто хотел бы лучше разобраться в соблюдении требований стандарта PCI DSS (Payment Card Industry Data Security Standard) – наш документ Complying with the Payment Card Industry Data Security Standard — White Paper (англ.).

Дата: 2017-10-19 07:00:14

Источник: https://habrahabr.ru/post/340228/



АНБ США могло быть известно об уязвимости KRACK

Предположения об осведомленности АНБ о KRACK возникли на фоне секретного документа, описывающего эксплоит для атак на беспроводные сети.

Известие о серьезной уязвимости KRACK в протоколе WPA2, ставящей под угрозу практически все существующие на данный момент сети Wi-Fi, вызвало широкий общественный резонанс. Агентство национальной безопасности США (АНБ) выпустило собственное предупреждение об уязвимости, однако представители спецслужбы отказались комментировать вопрос о том, было ли известно ведомству о данной проблеме.

Позиция АНБ неудивительна, учитывая, что агентство никогда не комментирует вопросы, связанные с разведывательной деятельностью и национальной безопасностью, однако молчание вряд ли развеет слухи об осведомленности АНБ о проблеме KRACK.

В рамках процедуры Vulnerabilities Equities Process (процесс раскрытия информации об уязвимостях, VEP) разведсообщество обязано предоставлять данные об уязвимостях, которые обнародуются при необходимости. В некоторых случаях сведения не раскрываются, так как могут быть полезны в разведывательных целях. Не секрет, что ФБР и АНБ используют эксплоиты для нераскрытых уязвимостей для атак на целевые компьютеры и сети в рамках разведопераций.

Предположения об осведомленности АНБ о KRACK возникли на фоне обнародованного Эдвардом Сноуденом секретного документа АНБ, датируемого 2010 годом, который подробно описывает хакерский инструмент BADDECISION – эксплоит, разработанный для атак на беспроводные сети и перенаправления трафика на серверы АНБ. Как указывается в документе, эксплоит может применяться для атак на сети, использующие стандарты WPA/WPA2.

Однако ряд экспертов по безопасности не согласны с данным предположением. Как пояснил изданию ZDNet бывший сотрудник АНБ, пожелавший остаться неназванным: «это не KRACK». По его словам, BADDECISION представляет собой модифицированную АНБ версию общедоступного инструмента Ettercap, который используется для атак «человек посередине» и подмены ARP-информации. Исследователь Мэти Ванхоф (Mathy Vanhoef), обнаруживший KRACK, также не считает, что программа АНБ имеет отношение к данной уязвимости.

«По всей видимости, они [АНБ] используют подмену ARP для атак «человек посередине». Но это будет означать, что они могут подключиться к сети, использующей WPA2, и таким образом получить верные учетные данные. С данной точки зрения кажется, что инструмент не атакует шифрование WPA2», - отметил Ванхоф.

ARP - протокол сетевого уровня, предназначенный для преобразования IP-адресов (адресов сетевого уровня) в MAC-адреса (адреса канального уровня) в сетях TCP/IP.

WPA2 (Wireless Protected Access ver. 2.0) - вторая версия набора алгоритмов и протоколов обеспечивающих защиту данных в беспроводных сетях Wi-Fi. Как предполагается, WPA2 должен существенно повысить защищенность беспроводных сетей Wi-Fi по сравнению с прежними технологиями. Новый стандарт предусматривает, в частности, обязательное использование более мощного алгоритма шифрования AES (Advanced Encryption Standard) и аутентификации 802.1X.

 

 

Дата: 2017-10-19 06:52:13

Источник: http://www.securitylab.ru/news/489198.php



Еврокомиссия предложила странам ЕС помогать друг другу во взломе шифрования

ЕК выступает против бэкдоров и предложила альтернативный вариант решения проблемы получения данных с защищенных устройств.

В среду, 18 октября, в рамках антитеррористического пакета Европейская комиссия предложила странам-участницам Евросоюза помогать друг другу во взломе зашифрованных устройств.

В настоящее время неуклонно растет число сервисов, использующих шифрование. Спецслужбы многих стран, в том числе РФ, требуют от них предоставлять ключи шифрования для проведения оперативно-разыскных мероприятий. С технической стороны это не всегда возможно (как в случае с Telegram), а практика внедрения бэкдоров подвергается критике со стороны как правозащитников, так и простых граждан. В связи с этим Еврокомиссия предложила альтернативу – в случае необходимости страны ЕС будут оказывать друг другу помощь в вопросах взлома шифрования.

«Позиция Еврокомиссии предельно ясна: мы не поддерживаем так называемые бэкдоры – эксплуатацию системных уязвимостей, поскольку это ставит под угрозу безопасность всего нашего киберпространства, на которое мы опираемся. Мы пытаемся выйти за рамки пустых дебатов за или против бэкдоров и решить конкретные проблемы, с которыми сталкиваются правоохранительные органы. К примеру, как получить информацию с зашифрованного устройства», – сообщил еврокомиссар по Союзу безопасности ЕС Джулиан Кинг (Julian king).

Как пояснил Кинг, у некоторых стран есть больше технических возможностей, и Еврокомиссия намерена сделать так, чтобы никто не оказался в невыгодном положении. Поэтому правоохранительные органы стран ЕС будут помогать друг другу в проведении экспертизы. Как к данной инициативе относятся сами правоохранители, и захотят ли они делиться своим опытом и технологиями с зарубежными коллегами, пока неизвестно. Власти некоторых стран могут посчитать такой обмен угрозой собственной безопасности.

Дата: 2017-10-19 06:50:59

Источник: http://www.securitylab.ru/news/489197.php



В правительстве предлагают запретить закупку зарубежного ПО без исходного кода

"Мы просто бомбу затаскиваем в собственный дом", - заявил вице-премьер Дмитрий Рогозин.

Вице-премьер РФ Дмитрий Рогозин предложил запретить госзакупку импортного программного обеспечения, если разработчик отказывается раскрыть его исходный код, сообщает информагентство ТАСС.

По его словам, необходимо запретить закупку в государственный сектор оборудования от продавцов, не предоставляющих исходный код и документацию для его последующей модернизации собственными силами. Поставка зарубежного оборудования, такого как коммутаторы, маршрутизаторы и серверы подразумевает работу с постоянно модернизируемым иностранным ПО, которое может быть использовано для промышленного шпионажа.

"По сути дела, мы просто бомбу затаскиваем в собственный дом и не знаем, как эта история сработает в условиях обострения отношений. Да и просто никто не отменял промышленный шпионаж, поэтому это просто глупо", - заявил вице-премьер.

Рогозин также отметил необходимость ставить перед собой более амбициозные задачи, учитывая потенциал рассийского оборонно-промышленного комплекса. По его словам, это является не столько технологической, сколько политической задачей.

Напомним, ранее стало известно о разработке новой операционной системы для гражданской авиации под рабочим названием JetOS. Создание новой ОС ведется для защиты российских разработок в сфере авиации от возможных санкций.

Дата: 2017-10-19 06:13:00

Источник: http://www.securitylab.ru/news/489195.php



Минфин РФ не поддержал законопроект Минкомсвязи о защите Рунета

В предложенном Минкомсвязи законопроекте отсутствует финансово-экономическое обоснование.

Минфин РФ не разделяет позицию Минкомсвязи в вопросе защиты российского сегмента интернета от отключения извне. Согласно письму от замминистра финансов Андрея Иванова к замминистра связи Дмитрию Алхазову, Минфин отрицательно отнесся к предложенным Минфином поправкам в закон «О связи». Как сообщает «РБК», письмо датировано 10 октября текущего года.

Речь идет о проекте закона, разработанном по итогам заседания Совбеза в 2014 году и результатам специальных учений, в ходе которых проверялась возможность отключения Рунета извне. В течение года Минфин предлагал несколько поправок, и последние были представлены в августе.

В последних поправках к закону «О связи» описываются основные элементы «российского национального сегмента сети интернет». Это касается доменных зон .ru и .рф, системы точек обмен трафика, инфраструктуры автономных систем интернета, Государственной информационной системы обеспечения целостности, устойчивости и безопасности функционирования Рунета (ГИС «Интернет»). ГИС «Интернет» должна быть создана за счет средств из бюджета и средств Координационного центра национального домена сети интернет. Операторы связи и владельцы точек обмена трафиком должны будут предоставлять ГИС «Интернет» данные о своей критической инфраструктуре.

В письме Минфина сообщается о необходимости доработать законопроект и указывается на отсутствие подробного финансово-экономического обоснования предложений. В частности, нет данных об объеме средств за регистрацию доменов и их части, планируемой на ГИС «Интернет». В связи с этим нельзя подсчитать, сколько средств понадобится на создание и поддержку системы, и определить финансовые последствия для бюджета в случае принятия предложенных поправок.

Дата: 2017-10-19 05:52:28

Источник: http://www.securitylab.ru/news/489196.php



Вредоносные приложения Minecraft превращают Android-устройства в ботнет

Вредоносная кампания нацелена на пользователей в США, России, Украине, Бразилии и Германии.

Исследователи безопасности из компании Symantec обнаружили в Google Play Store по меньшей мере 8 приложений, инфицированных вредоносным ПО Sockbot, позволяющим подключать устройства к ботнету и осуществлять DDoS-атаки. По данным исследователей, приложения скачали 600 тыс. - 2,6 млн раз. Вредоносная кампания преимущественно нацелена на пользователей в США, России, Украине, Бразилии и Германии.

На первый взгляд, приложения предназначены для изменения внешнего вида персонажей в игре Minecraft: Pocket Edition, однако в фоновом режиме включен сложный и хорошо замаскированный вредоносный функционал. В ходе анализа исследователи выявили активность, направленную на незаконное получение доходов от скрытой рекламы.

Для получения команд приложение подключается к C&C-серверу через порт 9001. C&C-сервер отправляет команду открыть сокет по протоколу SOCKS и дождаться соединения по указанному IP-адресу. Затем приложению отправляется команда для подключения к целевому серверу. Подключившись к последнему, приложение получает список рекламных объявлений и связанных с ними метаданных (тип объявления, размер экрана). Используя SOCKS-прокси, приложение подключается к рекламному серверу и отправляет рекламные запросы. Само приложение не обладает функционалом для отображения рекламы.

По словам исследователей, данный механизм прокси может быть использован для эксплуатации ряда уязвимостей и проведения не только сетевых, но и DDoS-атак.

Как выяснили исследователи, с данной кампанией связана всего одна учетная запись разработчика - FunBaster. Исследователям не удалось получить более полную информацию о разработчике, поскольку вредоносный код приложений обфусцирован, а ключевые строки зашифрованы. Помимо этого, автор подписывает каждое приложение разным ключом, что усложняет идентификацию с помощью статического анализа.

Google уже удалила вредоносные приложения из Play Store.

Дата: 2017-10-19 05:21:00

Источник: http://www.securitylab.ru/news/489194.php



Представлен метод атаки на Windows 10 с помощью Intel MPX

Microsoft не считает проблему уязвимостью и не собирается выпускать исправление.

Функции Intel MPX, предотвращающие ошибки памяти, могут использоваться злоумышленниками для атак на Windows. К такому выводу пришли исследователи из CyberArk Labs, представившие метод атаки под названием BoundHook, позволяющий получить контроль над компьютерами под управлением 32- и 64-разрядных версий Windows 10.

В Windows 10 расширение набора инструкций Intel MPX используется для обеспечения безопасности приложений путем обнаружения граничных исключений, характерных для атак переполнения буфера. Метод BoundHook предполагает использование граничных исключений для получения контроля над устройством.

BoundHook позволяет перехватить приложение в режиме пользователя, выполнить код и получить контроль над компьютером под управлением Windows 10. Как пояснили исследователи, с его помощью злоумышленники теоретически могут обойти обнаружение антивирусными продуктами и другими решениями безопасности.

Эксперты связались с Microsoft, однако производитель не счел обнаруженную ими проблему опасной. В компании заявили, что метод может использоваться только после того, как система уже была скомпрометирована, и нет нужды выпускать патч.

«Описанная в этом маркетинговом отчете техника не воспроизводит уязвимость и может применяться только по отношению к уже взломанной машине. Мы призываем пользователей всегда обновлять свои системы для лучшей защиты», – сообщил представитель Microsoft изданию The Register.

Intel MPX (Memory Protection Extensions) – расширение набора инструкций для архитектуры x86/x86-64. С поддержкой со стороны компилятора, библиотек среды выполнения и операционной системы, расширение Intel MPX увеличивает безопасность программ по отношению к доступу к памяти, добавляя проверки доступа по указателям, в частности, для предотвращения атак, использующих переполнение буфера. MPX вводит новые регистры границ и несколько инструкций, обрабатывающих эти регистры.

Дата: 2017-10-19 04:45:10

Источник: http://www.securitylab.ru/news/489193.php



Cutlet Maker: коммерциализация налетов на банкоматы

В «Лаборатории Касперского» проанализировали новое вредоносное ПО для опустошения банкоматов, выставленное на продажу в даркнете.

Комплект программ Cutlet Maker был обнаружен на теневом рынке AlphaBay, ныне закрытом, 27 мая, где он продавался по цене 5 тыс. долларов США. При этом продавец предлагал не только сам продукт, ориентированный на банкоматы конкретного вендора, но также подробное руководство пользователя, с пошаговыми инструкциями и видеоматериалами. Расследование показало, что первый образец вредоносной программы Cutlet Maker был представлен на проверку на специализированный сервис из Украины еще в июне прошлого года, затем были поданы новые сэмплы из разных стран.

Тулкит Cutlet Maker устанавливается с USB-накопителя и состоит из трех компонентов: основного модуля, взаимодействующего с диспенсером банкомата, генератора паролей c0decalc для защиты от неавторизованного запуска зловреда и приложения Stimulator, определяющего содержимое каждой кассеты банкомата (валюту, количество купюр и их достоинство).

«Cutlet Maker не требует от злоумышленника почти никаких особых знаний или профессиональных компьютерных навыков, превращая взлом банкомата из сложной силовой кибероперации в еще один противозаконный способ заработка денег, доступный практически всем, у кого есть несколько тысяч долларов на покупку зловреда, — комментирует эксперт «Лаборатории Касперского» Константин Зыков. — Однако еще важнее то, что во время работы Cutlet Maker взаимодействует с программным и аппаратным обеспечением банкомата, практически не встречая никаких препятствий».

Применялся ли этот тулкит в реальных атаках, неясно, хотя видеоролики, предлагаемые продавцом, якобы демонстрируют его эффективность на живых примерах. О происхождении создателя Cutlet Maker можно только догадываться: по словам экспертов, формулировки мануала и допущенные в нем грамматические и стилистические ошибки говорят о том, что английский язык — не родной для вирусописателя.

Фрагмент мануала к Cutlet Maker

Примечательны также имя зловреда («Изготовитель котлет»; в русском языке есть жаргонное выражение «котлета», означающее «пачка денег») и названия некоторых кнопок управления: CHECK HEAT («проверить нагрев», выдается одна купюра из кассеты), start cooking! («начать готовку», выдается 50 пачек по 60 банкнот).

Защитные решения «Лаборатории Касперского детектируют Cutlet Maker как Backdoor.Win32.ATMletcut, Backdoor.Win32.ATMulator и Trojan.Win32.Agent.ikmo.

Чтобы оградить банкоматы от подобных зловредов, эксперты рекомендуют ввести строгие политики в отношении программ, не включенных в белые списки, ограничить подключение к банкоматам с неавторизованных устройств и использовать специализированную защиту.

На миниатюре представлен скриншот из блог-записи Зыкова на Securelist.com.

Дата: 2017-10-19 03:40:40

Источник: https://threatpost.ru/cutlet_maker_kommertsializatsija_naletov_na_bankomaty/22852/



Enhance Your Investigations with Network Data

Network forensics is its own specialized field that often introduces complex protocols, jargon, and analysis techniques that are potentially confusing to practitioners. But particular artifacts can be leveraged to determine the attack sequence and to offer a more complete picture of the breach. In this white paper, SANS analyst and instructor Matt Bromiley examines the power of network forensics and why it should be incorporated into all incident response investigations.

Дата: 2017-10-19 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/breaches/enhance-investigations-network-data-38090



Enhance Your Investigations with Network Data

Network forensics is its own specialized field that often introduces complex protocols, jargon, and analysis techniques that are potentially confusing to practitioners. But particular artifacts can be leveraged to determine the attack sequence and to offer a more complete picture of the breach. In this white paper, SANS analyst and instructor Matt Bromiley examines the power of network forensics and why it should be incorporated into all incident response investigations.

Дата: 2017-10-19 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/forensics/enhance-investigations-network-data-38090