Конференция АРСИБ "БИТ Москва"

Был в пятницу на конференции, организованной Ассоциацией руководителей служб информационной безопасности (АРСИБ). Список партнеров, спикеров и программа конференции доступна по ссылке. 

Не буду останавливаться на организационной части, комментировать место проведения и логистику. Правильнее будет прокомментировать контент.

Я пришел на эту конференцию впервые, чтобы узнать, "о чем говорят". Из всех идей ассоциации самой масштабной и благородной мне показалась работа с молодежью.

Вторая, не менее благая и масштабная, идея ассоциации имеет выхлоп с методологической стороны. С целью оказания помощи в обеспечении безопасности мобильных технологий в корпоративном секторе участники озадачились целью создания методического пособия с перечнем рекомендаций. Версия 1.0 брошюры была выпущена еще в марте 2016 года и находится в свободном доступе для скачивания по ссылке. Версия 2.0 была переработана с учетом замечаний, выпущена в печатном виде и роздана участникам конференции. Честно скажу: еще не читал, поэтому ее контент пока не обсуждаю.

Все доклады я комментировать не буду, только некоторые, которые выделил для себя.

Интернет вещей (IoT). Защита устройств и обязанность вендоров

В одной из своих заметок я описывал компоненты IoT, подлежащие защите.
Первыми, само собой, идут устройства - "вещи", которые и составляют основу "Интернета вещей". Компоненты "умного дома", "умного офиса", "умные автомобили", датчики состояния окружающей среды, живых организмов и прочее.

Все они для подключения к Интернет имеют: 

• операционную систему (как правило, довольно урезанную);
• реализацию сетевого стека (для подключения к сети);
• прикладную часть, которая устанавливается на ОС. 

Соответственно, по сети с большой вероятностью из Интернет будет доступно управление такими компонентами:

Работе специалиста по информационной безопасности посвящается

Откопал 6-7летней давности.
Посвящалось моей работе. Возможно, каждый увидит в этом произведении упоминание о своей.

Сколько нужно специалистов по ИБ, чтобы завести машину в мороз?

Думаю, я не первый, не сотый и не тысячный из тех, кто утром 8 января 2017 года решил поехать на машине - и не смог сделать это без лишних усилий. Из специалистов по информационной безопасности, думаю, тоже даже не десятый.

Мороз ночью падал ниже 30, и вода (в тех домах, где используется централизованный водопровод) перестала идти из крана. Ладно Москва или другой миллионник, где такие вопросы решаются быстро, но меня это событие застало в довольно отдаленной деревне. Я, привыкнув к неприхотливости своей машины за эти годы, даже не насторожился. Уже загрузив часть вещей, привычным жестом повернул ключ зажигания. Обычно зимой двигатель заводится со второго поворота ключа, но тут натужные попытки и с каждым разом все более и более гаснущие лампочки стремительно донесли до меня мысль, что там, где я планировал быть через час, меня еще в лучшем случае часа 2 не будет. Налицо все признаки замерзшего аккумулятора. Варианты: вынимать и нести погреться, искать зарядку, толкач, ваш вариант... Сходить купить не вариант - до ближайшего СТО или магазина автозапчастей километров 30 минимум, и то не факт, что работают.

New Year: SNMP default community quantity dynamics

In summer 2016 I provided brief analysis of IPv4-addresses with SNMP default community (DDoS attacks type SNMP Amplification sources) by countries (Russian article). The year is new but security holes are old.



New Year SNMP report by shodan, was compared with June one and shows such dynamics in integral TOP-10:

	2016	2017	Fixed, %
Brazil	1430670	1041122	27,23
USA	326735	240677	26,34
India	307155	210282	31,54
Korea	170979	173178	-1,29
China	121235	92019	24,10
Thailand	120263	61077	49,21
Colombia	104903	59178	43,59
Italy	87020	78970	9,25
Turkey	80880	50824	37,16
Iran	79506	57866	27,22

New Year: DNS open resolvers quantity dynamics

In summer 2016 I provided brief analysis of open DNS-resolvers (DDoS-attacks type DNS Amplification sources) by countries. Using the same shodan I decided to make NY report and to calculate the dynamics. The year is new but security holes are old.

So, NY report for DNS with open recursion has such behavior as to June one in integral TOP-10 for the world:

	2016	2017	Fixed, %
China	1066365	604080	43,35
Taiwan	308033	244719	20,55
USA	254265	206442	18,81
Korea	252341	232386	7,91
Russia	172123	131060	23,86
India	160751	115616	28,08
Brazil	155392	155889	-0,32
Turkey	97970	74572	23,88
Japan	58950	49473	16,08
Italy	46168	54122	-17,23

Новый год: динамика латания дыр SNMP по странам

В прошлом году летом я приводил краткий анализ количества устройств с настройками SNMP по умолчанию (источников SNMP Amplification) по странам. Ради интереса решил из того же shodan сделать новогодний отчет и посмотреть динамику. Год новый, но дыры старые.



Новогодний отчет по SNMP на shodan, по сравнению с июньским, показал такую динамику в интегральном TOP-10:

	2016	2017	Fixed, %
Brazil	1430670	1041122	27,23
USA	326735	240677	26,34
India	307155	210282	31,54
Korea	170979	173178	-1,29
China	121235	92019	24,10
Thailand	120263	61077	49,21
Colombia	104903	59178	43,59
Italy	87020	78970	9,25
Turkey	80880	50824	37,16
Iran	79506	57866	27,22

Страны с положительным процентом устранения уменьшили количество устройств с настройками SNMP по умолчанию, с отрицательным - увеличили.

В целом устройств с default SNMP community стало меньше. Если сделать подобный срез по всему миру, то увидим уменьшение количества уязвимых устройств:

TOTAL

3748045

2821398

24,72

Дифференциальный же TOP-10 на базе интегрального по проценту закрытых настроек SNMP по умолчанию выглядит следующим образом:


И в табличном виде:

	Country	Fixed, %
1	Thailand	49,21
2	Colombia	43,59
3	Turkey	37,16
4	India	31,54
5	Brazil	27,23
6	Iran	27,22
7	USA	26,34
8	China	24,10
9	Italy	9,25
10	Korea	-1,29

Итого, из отчета видно, что в IPv4-пространстве мира стало в среднем на 24,7% меньше единиц с SNMP default community, которые дают всем возможность использовать их как источник DDoS-атак.

Возможные причины:

• Инженеры изменили настройки SNMP по умолчанию
• Инженеры отключили SNMP как неиспользуемый сервис
• Хостеры/провайдеры заблокировали источники паразитного трафика
• Обновленное ПО по умолчанию отключает SNMP
• Shodan перестал видеть часть уязвимых серверов
• Ваш вариант

Будем надеяться, что новый год поможет нам закрыть хотя бы старые дыры.
Как закрыть дырявый SNMP - написано здесь.

Новый год: динамика латания дыр DNS по странам

В прошлом году летом я приводил краткий анализ количества открытых DNS-резолверов (читай источников DDoS-атак DNS Amplification) по странам. Ради интереса решил из того же shodan сделать новогодний отчет и посмотреть динамику. Год новый, но дыры старые.

Новогодний отчет по DNS на shodan по сравнению с июньским показал такую динамику в интегральном TOP-10:

	2016	2017	Fixed, %
China	1066365	604080	43,35
Taiwan	308033	244719	20,55
USA	254265	206442	18,81
Korea	252341	232386	7,91
Russia	172123	131060	23,86
India	160751	115616	28,08
Brazil	155392	155889	-0,32
Turkey	97970	74572	23,88
Japan	58950	49473	16,08
Italy	46168	54122	-17,23

Страны с положительным процентом устранения уменьшили количество открытых резолверов, с отрицательным - увеличили.

В целом устройств с открытым DNS стало меньше. Если сделать подобный срез по всему миру, то увидим уменьшение количества резолверов:

TOTAL

3537994

2710631

23,39

Дифференциальный же TOP-10 на базе интегрального по проценту закрытых резолверов DNS выглядит следующим образом:


И в табличном виде:

	Country	Fixed, %
1	China	43,35
2	India	28,08
3	Turkey	23,88
4	Russia	23,86
5	Taiwan	20,55
6	USA	18,81
7	Japan	16,08
8	Korea	7,91
9	Brazil	-0,32
10	Italy	-17,23

Итого, видно, что в IPv4-пространстве мира стало в среднем на 23,4% меньше DNS-серверов, которые дают всем возможность использовать их как источник DDoS-атак.
Возможные причины:

• Инженеры перенастроили DNS-сервера на работу правильным образом
• Инженеры отключили неиспользуемые сервисы
• Хостеры/провайдеры заблокировали часть источников паразитного трафика
• Обновленное ПО по умолчанию закрывает рекурсию
• Shodan перестал видеть часть уязвимых серверов
• Ваш вариант

Будем надеяться, что новый год поможет нам закрыть хотя бы старые дыры.
Как закрыть дырявый DNS - написано здесь (по-русски) и здесь (по-нерусски).