Итоги 1-го дня PHDays IV: от критически важных объектов до клипового мышления

Итоги 1-го дня PHDays: от критически важных объектов до клипового мышления

21 мая в Москве стартовал международный форум по практической безопасности Positive Hack Days IV, для участия в котором со всего мира прибыли более 2000 экспертов в области информационной безопасности, хакеры, ученые, писатели, государственные деятели и представители интернет-сообщества.

Множество докладов и мастер-классов, дискуссий и конкурсов дали возможность познакомиться с реальной практической безопасностью и обсудить будущее всей отрасли, а также центральную тему форума – защищенность критической инфраструктуры.

Как защитить заводы и пароходы

Инфраструктурные предприятия стремительно попадают в зависимость от интернет-систем, и это дает экспертам повод предполагать различные сценарии Армагеддона, начиная с разрушения систем водоснабжения, энергетики, транспорта и заканчивая остановкой торговых операций, продовольственным кризисом или потерей контроля над медицинским оборудованием.  Участники секции «Безопасность критической инфраструктуры» попытались систематизировать киберугрозы для ключевых предприятий и организаций, чтобы определить степень их готовности к подобным нештатным ситуациям. В ходе дискуссии с участием представителей ФСБ обсуждалась и защита крупных международных событий, в частности прошедшей Олимпиады. Булат Гузаиров, руководитель отдела серверных технологий компании «ICL-КПО ВС», рассказал о создании на Универсиаде консолидированного центра защиты от угроз, в который вошли эксперты Positive Technologies, «Лаборатории Касперского» и других компаний.

На сессии заместитель генерального директора Positive Technologies Борис Симис представил результаты опроса 63 директоров крупнейших компаний из российского списка топ-100 и представителей государственных организаций. Согласно полученным данным, с хакерскими атаками и заражением вредоносным ПО сталкивались все без исключения организации – участники опроса, причем свыше половины подобных инцидентов привели к существенным неприятностям –  нарушению операционной деятельности, финансовым потерям, репутационным издержкам. Несмотря на то что опрашивались компании с отлаженными процессами ИБ, в каждой седьмой компании инцидент обнаруживали только тогда, когда атакующий уже проник во внутреннюю сеть.

В дискуссии принимали участие представители всех ключевых отраслей – Андрей Курило, заместитель начальника ГУБЗИ Центробанка; Гаральд Бандурин, директор по информационным технологиям «РусГидро»; Марк Фюрре (Marc Furrer), президент швейцарской компании ComCom; Ахмад Хассан, директор по управлению рисками и обеспечению соответствия стандартам du Telecom; Борис Макаров, руководитель центра кибербезопасности ОАО «РЖД».

По мнению участников, одна из основных проблем в области информационной безопасности критической инфраструктуры состоит в отсутствии практики форсайтов (работы на опережение). Так, Гаральд Бандурин отметил, что вопросы ИБ должны отрабатываться в системах еще на этапе их проектирования, а нормативная база должна способствовать этому. Об этом говорил и Булат Гузаиров из «ICL-КПО ВС» в своем кейсе про защиту Универсиады в Казани. Главный урок, подчеркнул он, в том, что разработка системы обеспечения информационной безопасности должна начинаться параллельно с развитием бизнес-проекта по организации крупного события. Другими словами, специалистов по информационной безопасности необходимо подключать к проекту как можно раньше. Ахмад Хассан из du Telecom, представляя свой практический пример из области телекоммуникаций, рассказал, что работа, как правило, начинается с анализа информационных рисков и разработки планов реагирования. Он также отметил, что подход к информационной безопасности сегодня значительно изменился – благодаря влиянию тренда «переход в облака».

В «РЖД» к проблемам ИБ подходят не менее комплексно. Как отметил Борис Макаров, среди задач, которые компания ставит перед собой на перспективу, — перевод всего цикла производства микропроцессорных систем управления на территорию России и постепенный переход на отечественную элементную базу.

В ходе дискуссии эксперты отметили также высокое значение информационного обмена как между компаниями, так и между странами. Кроме того, кадровую проблему участники дискуссии оценили как «глобальную».

Цитаты дня:

Борис Симис: «Передать знания и опыт в нашей области совсем не так просто, как может показаться. Необходима комплексная система подготовки и удержания кадров, и желательно — на уровне специальной государственной программы».

Видео: http://live.digitaloctober.ru/embed/2990#time1400655763

«Не нужно никакого АНБ»

Аплодисментами встречали и провожали Игоря Ашманова. Специалист в области искусственного интеллекта и генеральный директор известного медиаагентства поведал о безопасности в соцсетях, а точнее о невозможности сохранить какие-либо секреты, будучи пользователем подобных сервисов. Благодаря современным системам, обрабатывающим большие данные, можно выяснить о человеке очень много фактов  –  от планируемой беременности и проблем с автомобилем до политических пристрастий. Персональная информация миллионов пользователей наиболее активно используется не угрюмыми разведслужбами, а гигантскими корпорациями с приятным человеческим имиджем. В частности Фейсбук, по словам Игоря, хранит и анализирует комментарии пользователей, которые были просто написаны в мессенджере, но не были опубликованы...

«Пишущая и читающая аудитория Рунета почти вся мигрировала из ЖЖ в Фейсбук, – говорит Игорь Ашманов. –Теперь она привыкает к коротким текстам и репликам, короткоживущим темам и вырабатывает клиповое мышление. Время активной жизни сообщения – 4–6 часов. Это время, когда сообщение получает 98% действий, – комментариев, лайков, ретвитов и т. п. Кроме того, 90% людей в соцсетях – потребители, они не генерируют никакого контента, даже комментариев».  

Игорь Ашманов: «После Олимпиады и Крыма многие либералы скачали новую прошивку и обновились до патриотов #phdays»

Видео: http://live.digitaloctober.ru/embed/2990#time1400666542

Взлом во благо

Что общего между вторым по объему в мире газохранилищем в Туркмении, аэропортом в Цюрихе и Большим адронным коллайдером? Заместитель генерального директора Positive Technologies Сергей Гордейчик вместе с экспертами-энтузиастами из SCADA Strangelove рассказали о новых уязвимостях в промышленных компьютерных системах АСУ ТП (SCADA), управляющих работой множества критически важных объектов. По словам Сергея Гордейчика, компания Positive Technologies за несколько лет обнаружила более 200 уязвимостей нулевого дня в таких системах, и многие из них до сих пор не устранены. В настоящий момент к сети Интернет подключено почти 70 тысяч систем АСУ ТП, для их обнаружения в свободном доступе есть специальные инструменты, а для использования этих багов написано множество эксплойтов – но производители не очень торопятся исправлять ошибки. При этом почти пятая часть уязвимостей позволяет выполнять произвольный код в системе, а это прямая угроза не только для бизнеса, но и для физической безопасности огромного количества людей. Специалист отдела анализа защищенности Positive Technologies Артем Чайкин поделился информацией о фатальных недостатках защиты «умных» электросетей SmartGrid – новомодных систем мониторинга и оптимизации затрат на электроснабжение, стремительное внедрение которых во всем мире при текущем уровне защиты позволит в будущем отключать целый город при помощи пары строк кода.

Видео: http://live.digitaloctober.ru/embed/2990#time1400663085

Помимо обширной конкурсной программы, старта международных хакерских соревнований PHDays IV CTF, множества увлекательных докладов, хардкорных фаст-треков, живых мастер-классов (включая изготовление ключей в исполнении неподражаемых специалистов из TOOOL), в первый день форума при участии представителей фонда Сколково состоялось заседание секции «Перспективы инвестиций в области информационной безопасности в России» с демонстрацией разработок молодых предпринимателей. В рамках круглого стола «Телекомы: от SS7 до биллинга» обсуждались проблемы информационной безопасности телекоммуникационных предприятий, а на  секции «Управление безопасностью — управление рисками» (модератором которой стал Михаил Емельянников, а участниками – представители «ВТБ», «ВымпелКома», «Лукойла» и Yota) рассматривали вопрос корреляции операционных рисков с рисками ИБ.

И это еще не все!

Второй день форума стартовал с секции Алексея Андреева «Государство и информационная безопасность», основной вопрос которой – можно ли сохранить традиционные гражданские свободы в современном цифровом мире. Одновременно в четырех других залах рассказывали про ботнеты, эксплуатацию уязвимостей ARM, про управление доступом и криптографически защищенные групповые коммуникации.

В конкурсе «Большой ку$h» 22 мая каждый желающий получит возможность вывести живые деньги с банковских счетов, а приблизившиеся к макету Critical Infrastructure Attack могут парализовать целый город: хакеры проверят на прочность безопасность ТЭЦ, систем городского освещения и транспорта, кранов и промышленных роботов-манипуляторов. В этом конкурсе используются реальные системы АСУ ТП (SCADA), применяемые на заводах и гидроэлектростанциях, для управления транспортным оборудованием, в нефтяной и газовой промышленности.

Обо всем этом мы расскажем чуть позже.

С расписанием выступлений PHDays IV можно ознакомиться на официальном сайте по адресу www.phdays.ru/program/schedule/, а видеотрансляция выступлений из всех залов проходит по ссылке: www.phdays.ru/broadcast/. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Схема IconAds: 352 Android-приложения показали 1,2 млрд реклам за сутки

Исследователи из HUMAN рассказали о новой крупной схеме рекламного мошенничества под названием IconAds. В неё входило 352 вредоносных Android-приложения, которые показывали рекламу вне контекста, скрывали свои иконки с домашнего экрана и создавали проблемы при удалении.

Эти приложения уже удалены из Google Play, но за время своего пика они генерировали до 1,2 млрд рекламных запросов в день. Согласно отчёту, больше всего заражённых устройств оказалось в Бразилии, Мексике и США.

IconAds — не новенький на сцене: это очередная итерация уже известных угроз HiddenAds и Vapor, которые с 2019 года научились обходить защиту Play Store. У таких приложений есть несколько общих трюков: обфускация кода, подмена активностей, маскировка под другие программы, в том числе под сам Google Play. Некоторые версии даже проверяли, откуда их установили — из официального магазина или нет — и только потом начинали «шалить».

Параллельно с этим IAS Threat Lab вскрыл другую хитрую схему под названием Kaleidoscope. Здесь схема двойная: на Google Play загружается «невинная» версия приложения, а её «злой близнец» — с вредоносным кодом — распространяется через сторонние магазины и фейковые сайты. И уже эта вредоносная копия показывает пользователям агрессивную рекламу и «отмывает» деньги рекламодателей. Основной удар пришёлся на Латинскую Америку, Турцию, Египет и Индию, где такие магазины особенно популярны.

Интересный момент: часть доходов от Kaleidoscope связана с португальской компанией Saturn Dynamic, которая вроде как просто предлагает инструменты для монетизации рекламы. Но, как выясняется, всё гораздо интереснее.

Из рекламы — в финансы: новые атаки на NFC и СМС

И это ещё не всё. Эксперты также сообщают о росте финансовых атак через NFC. Например, вредоносы NGate и SuperCard X перехватывают сигнал с банковской карты жертвы и отправляют его на устройство злоумышленника — и вуаля, можно снимать деньги в банкомате за тысячи километров. Ещё одна вариация — Ghost Tap, когда украденные данные карты подгружаются в цифровой кошелёк (Google Pay, Apple Pay) и используются для оплаты в обычных терминалах. Всё выглядит как обычная транзакция, и банки ничего не подозревают.

100 000 заражений в Узбекистане и фальшивые приглашения на свадьбу

Пока одни показывают рекламу, другие крадут СМС и банковские данные. В Узбекистане зафиксирована вспышка заражений новым вредоносом Qwizzserial. За три месяца он успел заразить почти 100 000 устройств и украсть не менее 62 000 долларов. Вредонос маскируется под приложения банков и госуслуг, а распространяется через фейковые телеграм-каналы. После установки приложение просит доступ к СМС, звонкам и даже предлагает отключить оптимизацию батареи, чтобы работать в фоне без помех.

Собранные данные (номера телефонов, карты и коды подтверждения) отправляются через телеграм-ботов. И, по словам экспертов из Group-IB, злоумышленники даже автоматизировали процесс создания поддельных приложений.

Ещё немного плохих новостей: фейковые TikTok и кража криптокошельков

В довесок Kaspersky нашла новый троян SparkKitty, который умеет работать как на Android, так и на iOS. Он распространяется через клоны TikTok на левых сайтах, а на iPhone устанавливается с помощью сертификатов разработчиков, минуя App Store. Основная цель — найти и украсть фотографии с сид-фразами от криптокошельков, причём для этого SparkKitty использует OCR, то есть умеет распознавать текст на картинках.

Судя по источникам распространения, вредонос в основном бьёт по пользователям в Китае и Юго-Восточной Азии. Предшественником SparkKitty считается SparkCat — он делал то же самое.

Android всё больше становится полем битвы: рекламные мошенники, финансовые киберпреступники и шпионские программы — все борются за контроль над вашими экранами, СМС и даже фото. И пока Google и производители антивирусов реагируют, злоумышленники продолжают адаптироваться и выпускать новые версии своих вредоносов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru