Positive Technologies

Одна из самых распространенных проблем безопасности корпоративных сетей Wi-Fi — использование словарных паролей, которые легко подобрать. С ними исследователи Positive Technologies сталкивались практически во всех проектах по анализу защищенности ИТ-инфраструктуры.

Кроме того, часто встречаются и ошибки конфигурирования сетей, расширяющие возможности нарушителя для проведения атак. К таким недостаткам безопасности относится отсутствие ограничения мощности сигнала беспроводных маршрутизаторов, в результате которого подключение к сети компании можно осуществлять вне пределов контролируемой зоны — из соседнего здания или с парковки. Это, например, позволяет хакерам проводить атаки на устройства сотрудников компании за пределами контролируемой зоны и перехватывать аутентификационные данные для доступа к корпоративным ресурсам.

Помимо этого, как показывает опыт работ по анализу защищенности, во многих случаях после подключения к гостевой сети может быть получен доступ к другим сетевым сегментам, в том числе к ресурсам локальной сети.

Часто бывает, что в компании ограничен доступ к Интернету для сотрудников, заблокированы отдельные веб-ресурсы. Чтобы обойти эти ограничения, работники подключаются к нужным им сайтам со смартфонов. А для большего удобства они могут разворачивать на смартфоне беспроводную точку доступа, к которой подключают рабочую станцию и пользуются интернет-ресурсами через такое несанкционированное соединение, которое никак не защищено. В ходе работ по анализу защищенности беспроводных сетей на каждом объекте в 2016 году выявлялись в среднем три несанкционированные точки доступа. В одной из компаний обнаружено сразу семь таких точек.

Как подчеркивают аналитики, отказываться от использования Wi-Fi не нужно, гораздо более эффективный метод — внедрение комплексного подхода к обеспечению информационной безопасности. Важно уделять внимание повышению осведомленности сотрудников в вопросах безопасности, а также перекрывать потенциальные векторы атак на Wi-Fi — например, внедрять безопасные методы аутентификации с проверкой сертификатов, ограничивать доступ клиентов гостевой сети, проводить регулярный анализ защищенности беспроводных сетей, выявлять и отключать несанкционированные точки доступа.

При тестировании на проникновение моделируется поведение потенциальных нарушителей, что позволяет оценить реальный уровень безопасности системы и выявить конкретные недостатки механизмов защиты, в том числе и те, которые могут остаться незамеченными при использовании других методов аудита. В отчете, выпущенном экспертами Positive Technologies, представлено более десятка типовых сценариев атак, которые успешно моделировались в тестированиях, проводившихся за последние три года для крупнейших компаний как в России, так и за рубежом. В список сценариев вошли как простые атаки, не требующие специальных инструментов, так и более сложные – например, обход двухфакторной аутентификации, которая традиционно считается надежным методом защиты.

В целом, подобные сценарии атак позволяют экспертам компании получать полный контроль над локальной вычислительной сетью во всех проектах тестирований от лица внутреннего нарушителя, а в случае моделирования внешнего нарушителя преодолеть периметр удается в 80% проектов.

Поскольку аналогичные техники применяют и реальные злоумышленники для целевых атак, тестирование на проникновение позволяет выявить уязвимости до того, как ими воспользуются преступники. Важно понимать, что используемые для атак недостатки защиты могут присутствовать в системе любой организации. При этом большинство атак вполне предсказуемы: каждый из описанных сценариев основан на эксплуатации наиболее распространенных уязвимостей, которые могут быть устранены с минимальными финансовыми вложениями, зачастую просто путем изменения конфигурации системы.

Эксперты также подчеркивают, что сложность компрометации ресурсов в значительной степени зависит от того, является ли подход к защите комплексным. Даже в случае применения дорогостоящих решений по обеспечению безопасности они могут оказаться бесполезными, если пользователи и администраторы ресурсов применяют словарные пароли. На практике было множество примеров, когда словарный пароль лишь одного пользователя позволял развить вектор атак до получения полного контроля над всей инфраструктурой корпоративной сети. Также было показано, что, получив привилегии локального администратора на рабочей станции или сервере, нарушитель может использовать специализированные утилиты для получения учетных данных даже при наличии антивируса.

Ежемесячно в сетевых устройствах, в том числе Wi-Fi- и 3G-роутерах, обнаруживаются в среднем 10 уязвимостей. По мнению экспертов Positive Technologies, большинство разработчиков и поставщиков сетевых устройств не придают должного значения таким понятиям, как «тестирование» и «безопасность». Многие серьезные уязвимости остаются без обновлений, а если они и выходят, то пользователи не торопятся их применять.

Новости последнего года свидетельствуют, что злоумышленники все больше интересуются уязвимостями Интернета вещей. Атаки в этом направлении будут только расти с учетом того, что согласно оценкам Gartner, к 2020 году количество IoT-устройств превысит 20 млрд. В пятерку наиболее популярных устройств небезопасного Интернета вещей, которые уже сейчас используются многими людьми, входят роутеры, камеры и видеорегистраторы, навигаторы, устройства беспроводного управления и всевозможные датчики.

Роутеры

Средний возраст прошивки на среднестатистическом роутере составляет 3-4 года. Этот возраст коррелирует со средним возрастом самого роутера, или, другими словами, пользователи скорее меняют само устройство, чем обновляют его прошивку. На данный момент опытным путем установлено, что пароли примерно 15 из 100 устройств никогда не менялись со значений по умолчанию. И зная всего пять самых популярных пар «логин-пароль», можно получить доступ к каждому десятому устройству.

Камеры и видеорегистраторы

В настоящее время злоумышленник может потенциально получить доступ более чем к 3,5 миллионам камер по всему миру. При этом для доступа к видео произвольно взятого пользователя требуется всего пара запросов в Shodan, один в Google, VLC-медиаплеер и не более 60 секунд времени.

Как утверждают в Positive Technologies, около 90% всех камер, которые используются для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны.

Навигаторы

Системы глобального позиционирования настолько глубоко проникли во все сферы нашей жизни, что большинство людей пользуются ими, не задумываясь о том, насколько им можно доверять. Между тем уже есть множество примеров, подтверждающих, что подобные системы уязвимы к разнообразным атакам, включая spoofing, то есть подмену сигнала. Более пяти лет назад иранские военные смогли посадить американский беспилотник, используя данную технику. А в конце 2016 года темой многих СМИ стали искажения GPS и ГЛОНАСС в центре Москвы, около Кремля: навигаторы вдруг показывали своим пользователям, что они находятся в аэропорту Внуково.

Беспроводное управление

Компьютерные мыши и клавиатуры с радиоинтерфейсом и USB-трансивером не защищены от взлома: собрать набор для проведения атаки можно всего за 300 рублей, а вестись она может с расстояния до 1 км. Исследователи Positive Technologies протестировали безопасность устройств Logitech, A4Tech и Microsoft и смогли перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут приводить к утечке паролей, платежных реквизитов, персональных данных и другой важной информации.

Датчики (электричество, вода, сигнализация)

В ходе одного из исследований умных сетей электроснабжения (smart grid) эксперты обнаружили тысячи пользовательских веб-панелей управления системами мониторинга солнечных электростанций. Примерно 5% систем вообще не требовали пароля для входа на страницу конфигурации, у остальных 95% систем пароль был, но его оказалось достаточно легко подобрать. Обойдя авторизацию, злоумышленник может удаленно установить модифицированную прошивку или просто поменять параметры системы, что приведет к аварии.

Эксперты компании Positive Technologies сделали выводы об основных тенденциях в мире информационной безопасности, которые появились в 2016 году и будут оказывать влияние на будущее индустрии. Основой для оценки послужила статистика по общей картине атак, предоставленная собственным центром мониторинга, опыт расследования ряда крупных инцидентов, включая громкие атаки на банки, а также данные, полученные в ходе проектов по внедрению продуктов компании в различных организациях.

Вот чем запомнился минувший год:

• Потеря данных не лучше, чем потеря денег. Результат большинства компьютерных атак 2016 года − утечки конфиденциальной информации.
• Целевые атаки. 62% кибератак года были целевыми. Главный метод проникновения – таргетированный фишинг. Среднее время присутствия атакующих в системе составляет до 3 лет. Лишь 10% атак выявляются самими жертвами.
• Финансовые системы. Злоумышленники используют простые методы и легальное ПО для маскировки, а сами атаки готовятся более тщательно. Ожидается 30% рост атак на финансовые организации. Основная причина — реактивные подходы к безопасности и отказ от регулярного анализа защищенности. Хакеры, увидев «легкие деньги», начинают тиражировать успешные атаки.
• Выкуп на высшем уровне. Крупные компании подвергаются вымогательству с помощью троянов-шифровальщиков, DDoS-атак и уязвимостей веб-сайтов. Способ вымогательства, когда хакеры требуют выкуп за информацию об уязвимостях, найденных в веб-приложениях компаний, уже стал массовым. Перечисленные техники вымогательства будут развиваться и в 2017 году.
• Под ударом энергетика. Среди промышленных систем управления, доступных через Интернет, лидируют системы автоматизации зданий и управления электроэнергией. Практически половина уязвимостей, найденных в 2016 году, имеет высокую степень риска.
• Между АСУ и Интернетом вещей. Автоматизация управления стала доступна массовым пользователям без необходимых мер безопасности. Не исключено, что ситуация в сфере Интернета вещей может потребовать регулирования минимального уровня защищенности устройств — если производители сами не проявят сознательность в этом вопросе, то подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции.
• Государственные сайты – самая частая цель веб-атак. Наиболее популярны атаки «Внедрение операторов SQL» и «Выход за пределы назначенной директории» (Path Traversal).
• Не верьте спутниковой навигации. Реализация атак с подменой GPS-сигнала стала доступной всем желающим.
• Вами управляет Android. Поскольку смартфоны становятся основным «пультом управления» современной жизни, внимание злоумышленников к устройствам на базе OS Android не ослабевает. «Сфера влияния» мобильных приложений расширяется: приложения для управления бытовыми приборами или для игр с дополненной реальностью дают злоумышленникам новые возможности вмешательства в жизнь своих жертв.
• Атаки через уязвимости аппаратных платформ. Легальные аппаратные возможности, предусмотренные самими производителями, могут быть использованы не по назначению. Аппаратные атаки страшны тем, что зачастую они не зависят от ОС и не могут быть оперативно предотвращены.

Ожидающийся рост атак на финансовые системы, государственные сайты и корпорации с использованием несложных технологий (фишинг, легальное ПО) говорит о необходимости применения современных средств мониторинга событий и расследования инцидентов (SIEM), систем обнаружения атак на основе машинного обучения (WAF), а также требует повышения осведомленности сотрудников.

Слабая защищенность промышленных систем АСУТП в сочетании с ухудшением геополитической обстановки может привести в 2017 году к увеличению числа кибератак на промышленные объекты, особенно в энергетической сфере. Использование сложных паролей и отключение компонентов АСУТП от Интернета могут уменьшить риски, однако нужны и более серьезные меры. Они включают регулярные аудиты безопасности, своевременное обновление уязвимого ПО и использование средств защиты, «заточенных» на специфику конкретных систем.

Пользователям мобильных устройств рекомендуется уделять повышенное внимание безопасности приложений и использовать настройки для ограничения прав доступа к персональной информации и потенциально опасным действиям.

Атаки на Интернет вещей показали, что пользователи зачастую лишены возможности самостоятельно контролировать безопасность новых устройств. Для уменьшения рисков необходимо, чтобы сами производители или провайдеры услуг Интернета вещей проводили специальные тестирования защищенности устройств. Обязать их к этому могут либо дополнительные правила государственных регуляторов, либо саморегуляция на основе угрозы потери репутации после крупных атак. Кстати, эксперты прогнозируют, что в 2017 году злоумышленники расширят спектр используемых IoT-устройств: в зоне риска — «умные» бытовые приборы (вплоть до чайников и холодильников).