LinkMeUp. Выпуск № 6. Информационная безопасность и история атак

Мы долго ждали этот выпуск. Он казался нам особенно интересным ввиду специфики тематики — информационная безопасность. Наш коллега Александр (он же sinister) из Украины рассказывает с чувством, с толком, с расстановкой о самых знаковых атаках и взломах последних лет.
Уязвимости, черви, вирусы, социальная инженерия. В шестом выпуске подкаста есть всё.
Кратко о темах выпуска:

Новости
1. Cisco меняет программу сертификации
2. Первые жертвы закона об Интернете
Темы гостя
1. Атаки на промышленные объекты (Бушерская АЭС)
2. Как довели до банкротства центр сертификации DigiNotar (как пример атаки на инфраструктуру)
3. Самая мощная в истории DDoS-атака, как это было (300 гигабит/c, апрель 2013)
4. Немного про lulzsec — крах HBGary (федеральная IT секьюрити и шпионаж) и подробный рассказ как нашли, задержали их лидеров
5. Личный опыт — Прекратившая существование компания, филиалы в 10 областных центрах.
6. Личный опыт — Разбор инцидента с эволюционировавшим анлокером.

Скачать файл подкаста.

Добавить RSS в подкаст-плеер.

Под катом слайдкаст и материалы к выпуску.

Новости: 1, 2 (1, 2, 3)

Реестр.
Список сайтов уже попавших под горячую руку.

22 комментария

Воу, воу, народ. Бушерская АЭС и завод по обогащению урана — это разные предприятия. На АЭС нет центрифуг для обогащения урана.

MaximGrishin
25 августа 2013, 18:37
0
↓

Возможно, мы были несколько некорректны, используя именно в данном контексте «АЭС», но суть от этого не меняется, атака была именно на этот объект.

eucariot
26 августа 2013, 11:53
0
↑
↓

Некоторые компьютеры на самой АЭС были так же заражены этим червем.
А непосредственно весь урон был на заводе по обогащению урана в Натанзе. Именно там было зафиксировано существенное сокращение количества центрифуг.

Спасибо за внимательность.

sinister
26 августа 2013, 16:02
0
↑
↓

Интересный выпуск, захотелось поменять все пароли.
Мне кажется было бы логичным продолжением некий «список рецептов» по безопасности: что нужно делать, что не нужно делать, и для чего. Нестандартные пароли и отключение ненужного очевидно, но есть много не очевидных и неоднозначных вопросов.
Например:
-подключение к маршрутизаторы из вне: ssh с нестандартным портом или vpn во внутреннею сеть.
-загрузка конфига с tftp-серверов как вариант защиты от его кражи вместе с устройством.
-организация сети предприятия с точки зрения безопасности.

DmitriyDima
25 августа 2013, 19:22
0
↓

Спасибо. Подумаем об этом, но из постоянных ведущих с ИБ никто не сталкивался всерьёз, поэтому с практической стороны пока рассказать не можем. Тема-то, конечно, благодатная.

eucariot
25 августа 2013, 19:32
0
↑
↓

загрузка конфига с tftp-серверов как вариант защиты от его кражи вместе с устройством.

По-моему, загрузка конфига по tftp это еще бОльшая уязвимость с точки зрения безопасности.
В лучшем случае, конфиг смогут перехватить, в худшем — еще и модифицировать. Простор для атак здесь открывается довольно большой.

P.S. О теории и практике ИБ тоже с интересом послушал бы.

IgorKorotchenkov
26 августа 2013, 17:23
0
↑
↓

Мы уже думаем на эту тему. Один из следующих выпусков будет посвящён этому, если кому-то есть что-то сказать на эту тему, приглашаем в гости в нашу «студию».

eucariot
26 августа 2013, 17:27
0
↑
↓

Бывают ситуации когда загрузка по tftp нужна.
Например если используются cisco IP phone, в большом количестве, крайне удобно распространять изменения.

sinister
26 августа 2013, 20:05
0
↑
↓

Интересный выпуск, молодцы! Спасибо.

ZhanatRahmalin
6 сентября 2013, 09:18
0
↓

Приятно слышать. Следующий выпуск про GPON, сети доступа итд, приглашаем.

admin
6 сентября 2013, 11:12
0
↑
↓

Воу, воу народ. © zero-day уязвимость это не уязвимость от которой нету патча. это именно НЕИЗВЕСТНАЯ сообществу уязвимость. т.е. которая гарантированно сработает, т.к. известная, но не закрытая производителем уязвимость может быть УЖЕ закрыта сторонними конторами на этом специализирующимися, или может быть закрыта в рандомное время, т.к. конторы обеспечивающие безопасность и сам производитель уже вкалывают по полной чтобы максимально быстро её закрыть. Так что «купить зеро-дэй» — это именно купить знание, а не эксплоит. ну в нагрузку безусловно можно купить и эксплоит, ему цена 3 копейки, только готовый эксплоит нужен только школоте, а те кто юзают зеро-дэи — в состоянии написать свою реализацию дыры, и более того, именно это вариант и предпочтут.

itdiver77
13 ноября 2013, 12:20
0
↓

Вообщем то согласен.
Но если быть уже точным до конца

0day — термин, обозначающий вредоносные программы против которых еще не разработаны защитные механизмы или уязвимости, которые не устранены. Происхождение термина связано с тем обстоятельством, что уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от неё).

Кроме того есть и 1day — это когда уже и известная уязвимость и даже патч вышел, но все равно очень актуальная и рабочая.
По поводу продаж, то как я и говорил, чаще всего — это PoC (proof of concept), который уже можно допиливать для любой ситуации.
В любом случае оставим вопрос продаж за кадром, мы не блэки.

sinister
13 ноября 2013, 12:57
0
↑
↓

Мне больше по душе английское определение.

A zero-day (or zero-hour or day zero) attack or threat is an attack that exploits a previously unknown vulnerability in a computer application, meaning that the attack occurs on «day zero» of awareness of the vulnerability.[1] This means that the developers have had zero days to address and patch the vulnerability. Zero-day exploits (the software and/or strategies that use a security hole to carry out a successful attack) are used or shared by attackers before the developer of the target software knows about the vulnerability.

Безусловно, длится она до выпуска патча, но стартует именно в момент первого засечёного применения. Но смысл моего посыла в чём — тот же стухнет не за день писался. это результат работы команды, длительной работы. и там были именно истинные zero-day, неизвестные. а не те которые уже известны, но ещё не закрыты. я бы их всё-таки разделял.

И за интервью спасибо, интересное.

itdiver77
13 ноября 2013, 13:59
0
↑
↓

На счет stuxnet, там помимо 0day, был модифицированный эксплойт для MS08-067, на тот момент давно закрытого.
Я согласен, что Stuxnet, Flame, Duqu и прочее писалось очень серьезными людьми и использовало никому неизвестные 0day на тот момент.
Хотя учитывая возможное сотрудничество Microsoft со спецслужбами, к примеру раскрытие информации по уязвимостям до выхода патчей, вполне могло быть, что эти уязвимости уже были известны некоторым вендорам.
Но не будем уже так углубляться, да 0day — это действительно публично неизвестная уязвимость.

sinister
13 ноября 2013, 14:27
0
↑
↓

А где слайдик с пошаговым алгоритмом атаки, который забыли выложить?

AlekseyKolcov
9 декабря 2013, 09:53
0
↓

Если вы про DDos, то на 8-й странице.

sinister
10 декабря 2013, 17:11
0
↑
↓

Извиняюсь, ткните пожалуйста, меня на 8 страницу или лучше сразу на слайд.Ни того ни того не могу отыскать.

AlekseyKolcov
11 декабря 2013, 03:21
0
↑
↓

Вот здесь 7-я и 8-я страницы.

sinister
11 декабря 2013, 10:33
0
↑
↓

комментарий был удален

Мне одному немного больно слушать такие слова как хипсы и лулзсеки?

ViktorLevochkin
29 декабря 2017, 13:10
0
↓

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.