LinkMeUp. Выпуск № 6. Информационная безопасность и история атак

Мы долго ждали этот выпуск. Он казался нам особенно интересным ввиду специфики тематики — информационная безопасность. Наш коллега Александр (он же sinister) из Украины рассказывает с чувством, с толком, с расстановкой о самых знаковых атаках и взломах последних лет.
Уязвимости, черви, вирусы, социальная инженерия. В шестом выпуске подкаста есть всё.
Кратко о темах выпуска:
  • Новости
    1. Cisco меняет программу сертификации
    2. Первые жертвы закона об Интернете

  • Темы гостя
    1. Атаки на промышленные объекты (Бушерская АЭС)
    2. Как довели до банкротства центр сертификации DigiNotar (как пример атаки на инфраструктуру)
    3. Самая мощная в истории DDoS-атака, как это было (300 гигабит/c, апрель 2013)
    4. Немного про lulzsec — крах HBGary (федеральная IT секьюрити и шпионаж) и подробный рассказ как нашли, задержали их лидеров
    5. Личный опыт — Прекратившая существование компания, филиалы в 10 областных центрах.
    6. Личный опыт — Разбор инцидента с эволюционировавшим анлокером.

Скачать файл подкаста.




Добавить RSS в подкаст-плеер.

Под катом слайдкаст и материалы к выпуску.




Новости: 1, 2 (1, 2, 3)

Реестр.
Список сайтов уже попавших под горячую руку.

21 комментарий

avatar
Воу, воу, народ. Бушерская АЭС и завод по обогащению урана — это разные предприятия. На АЭС нет центрифуг для обогащения урана.
avatar
Возможно, мы были несколько некорректны, используя именно в данном контексте «АЭС», но суть от этого не меняется, атака была именно на этот объект.
avatar
Некоторые компьютеры на самой АЭС были так же заражены этим червем.
А непосредственно весь урон был на заводе по обогащению урана в Натанзе. Именно там было зафиксировано существенное сокращение количества центрифуг.

Спасибо за внимательность.
avatar
Интересный выпуск, захотелось поменять все пароли.
Мне кажется было бы логичным продолжением некий «список рецептов» по безопасности: что нужно делать, что не нужно делать, и для чего. Нестандартные пароли и отключение ненужного очевидно, но есть много не очевидных и неоднозначных вопросов.
Например:
-подключение к маршрутизаторы из вне: ssh с нестандартным портом или vpn во внутреннею сеть.
-загрузка конфига с tftp-серверов как вариант защиты от его кражи вместе с устройством.
-организация сети предприятия с точки зрения безопасности.
avatar
Спасибо. Подумаем об этом, но из постоянных ведущих с ИБ никто не сталкивался всерьёз, поэтому с практической стороны пока рассказать не можем. Тема-то, конечно, благодатная.
avatar
загрузка конфига с tftp-серверов как вариант защиты от его кражи вместе с устройством.

По-моему, загрузка конфига по tftp это еще бОльшая уязвимость с точки зрения безопасности.
В лучшем случае, конфиг смогут перехватить, в худшем — еще и модифицировать. Простор для атак здесь открывается довольно большой.

P.S. О теории и практике ИБ тоже с интересом послушал бы.
avatar
Мы уже думаем на эту тему. Один из следующих выпусков будет посвящён этому, если кому-то есть что-то сказать на эту тему, приглашаем в гости в нашу «студию».
avatar
Бывают ситуации когда загрузка по tftp нужна.
Например если используются cisco IP phone, в большом количестве, крайне удобно распространять изменения.
avatar
Интересный выпуск, молодцы! Спасибо.
avatar
Приятно слышать. Следующий выпуск про GPON, сети доступа итд, приглашаем.
avatar
Воу, воу народ. © zero-day уязвимость это не уязвимость от которой нету патча. это именно НЕИЗВЕСТНАЯ сообществу уязвимость. т.е. которая гарантированно сработает, т.к. известная, но не закрытая производителем уязвимость может быть УЖЕ закрыта сторонними конторами на этом специализирующимися, или может быть закрыта в рандомное время, т.к. конторы обеспечивающие безопасность и сам производитель уже вкалывают по полной чтобы максимально быстро её закрыть. Так что «купить зеро-дэй» — это именно купить знание, а не эксплоит. ну в нагрузку безусловно можно купить и эксплоит, ему цена 3 копейки, только готовый эксплоит нужен только школоте, а те кто юзают зеро-дэи — в состоянии написать свою реализацию дыры, и более того, именно это вариант и предпочтут.
avatar
Вообщем то согласен.
Но если быть уже точным до конца
0day — термин, обозначающий вредоносные программы против которых еще не разработаны защитные механизмы или уязвимости, которые не устранены. Происхождение термина связано с тем обстоятельством, что уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от неё).
Кроме того есть и 1day — это когда уже и известная уязвимость и даже патч вышел, но все равно очень актуальная и рабочая.
По поводу продаж, то как я и говорил, чаще всего — это PoC (proof of concept), который уже можно допиливать для любой ситуации.
В любом случае оставим вопрос продаж за кадром, мы не блэки.
avatar
Мне больше по душе английское определение.
A zero-day (or zero-hour or day zero) attack or threat is an attack that exploits a previously unknown vulnerability in a computer application, meaning that the attack occurs on «day zero» of awareness of the vulnerability.[1] This means that the developers have had zero days to address and patch the vulnerability. Zero-day exploits (the software and/or strategies that use a security hole to carry out a successful attack) are used or shared by attackers before the developer of the target software knows about the vulnerability.
Безусловно, длится она до выпуска патча, но стартует именно в момент первого засечёного применения. Но смысл моего посыла в чём — тот же стухнет не за день писался. это результат работы команды, длительной работы. и там были именно истинные zero-day, неизвестные. а не те которые уже известны, но ещё не закрыты. я бы их всё-таки разделял.

И за интервью спасибо, интересное.
avatar
На счет stuxnet, там помимо 0day, был модифицированный эксплойт для MS08-067, на тот момент давно закрытого.
Я согласен, что Stuxnet, Flame, Duqu и прочее писалось очень серьезными людьми и использовало никому неизвестные 0day на тот момент.
Хотя учитывая возможное сотрудничество Microsoft со спецслужбами, к примеру раскрытие информации по уязвимостям до выхода патчей, вполне могло быть, что эти уязвимости уже были известны некоторым вендорам.
Но не будем уже так углубляться, да 0day — это действительно публично неизвестная уязвимость.
avatar
А где слайдик с пошаговым алгоритмом атаки, который забыли выложить?
avatar
Если вы про DDos, то на 8-й странице.
avatar
Извиняюсь, ткните пожалуйста, меня на 8 страницу или лучше сразу на слайд.Ни того ни того не могу отыскать.
avatar
Вот здесь 7-я и 8-я страницы.
комментарий был удален
комментарий был удален
комментарий был удален
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.