Выбрать язык


Выбрать язык | Show only


Русский | English


суббота, 28 января 2017 г.

Конференция АРСИБ "БИТ Москва"

Был в пятницу на конференции, организованной Ассоциацией руководителей служб информационной безопасности (АРСИБ). Список партнеров, спикеров и программа конференции доступна по ссылке

Не буду останавливаться на организационной части, комментировать место проведения и логистику. Правильнее будет прокомментировать контент.
Я пришел на эту конференцию впервые, чтобы узнать, "о чем говорят". Из всех идей ассоциации самой масштабной и благородной мне показалась работа с молодежью.
Вторая, не менее благая и масштабная, идея ассоциации имеет выхлоп с методологической стороны. С целью оказания помощи в обеспечении безопасности мобильных технологий в корпоративном секторе участники озадачились целью создания методического пособия с перечнем рекомендаций. Версия 1.0 брошюры была выпущена еще в марте 2016 года и находится в свободном доступе для скачивания по ссылке. Версия 2.0 была переработана с учетом замечаний, выпущена в печатном виде и роздана участникам конференции. Честно скажу: еще не читал, поэтому ее контент пока не обсуждаю.
Все доклады я комментировать не буду, только некоторые, которые выделил для себя.

понедельник, 16 января 2017 г.

Интернет вещей (IoT). Защита устройств и обязанность вендоров

В одной из своих заметок я описывал компоненты IoT, подлежащие защите.
Первыми, само собой, идут устройства - "вещи", которые и составляют основу "Интернета вещей". Компоненты "умного дома", "умного офиса", "умные автомобили", датчики состояния окружающей среды, живых организмов и прочее.

http://iot.intersog.com/wp-content/uploads/iot/2015/12/Internet-of-Things-01.png

Все они для подключения к Интернет имеют: 
  • операционную систему (как правило, довольно урезанную);
  • реализацию сетевого стека (для подключения к сети);
  • прикладную часть, которая устанавливается на ОС. 
Соответственно, по сети с большой вероятностью из Интернет будет доступно управление такими компонентами:

четверг, 12 января 2017 г.

воскресенье, 8 января 2017 г.

Сколько нужно специалистов по ИБ, чтобы завести машину в мороз?

Думаю, я не первый, не сотый и не тысячный из тех, кто утром 8 января 2017 года решил поехать на машине - и не смог сделать это без лишних усилий. Из специалистов по информационной безопасности, думаю, тоже даже не десятый.
http://www.autoshcool.ru/uploads/posts/2010-08/1282903413_kak_chasto_nuzhno_zaryazhat_akkumulyator_mashiny_v_moroz.jpg

Мороз ночью падал ниже 30, и вода (в тех домах, где используется централизованный водопровод) перестала идти из крана. Ладно Москва или другой миллионник, где такие вопросы решаются быстро, но меня это событие застало в довольно отдаленной деревне. Я, привыкнув к неприхотливости своей машины за эти годы, даже не насторожился. Уже загрузив часть вещей, привычным жестом повернул ключ зажигания. Обычно зимой двигатель заводится со второго поворота ключа, но тут натужные попытки и с каждым разом все более и более гаснущие лампочки стремительно донесли до меня мысль, что там, где я планировал быть через час, меня еще в лучшем случае часа 2 не будет. Налицо все признаки замерзшего аккумулятора. Варианты: вынимать и нести погреться, искать зарядку, толкач, ваш вариант... Сходить купить не вариант - до ближайшего СТО или магазина автозапчастей километров 30 минимум, и то не факт, что работают.

вторник, 3 января 2017 г.

New Year: SNMP default community quantity dynamics

In summer 2016 I provided brief analysis of IPv4-addresses with SNMP default community (DDoS attacks type SNMP Amplification sources) by countries (Russian article). The year is new but security holes are old.

http://1u88jj3r4db2x4txp44yqfj1.wpengine.netdna-cdn.com/wp-content/uploads/2014/04/ddos.jpg

New Year SNMP report by shodan, was compared with June one and shows such dynamics in integral TOP-10:


2016 2017 Fixed, %
Brazil 1430670 1041122 27,23
USA 326735 240677 26,34
India 307155 210282 31,54
Korea 170979 173178 -1,29
China 121235 92019 24,10
Thailand 120263 61077 49,21
Colombia 104903 59178 43,59
Italy 87020 78970 9,25
Turkey 80880 50824 37,16
Iran 79506 57866 27,22

New Year: DNS open resolvers quantity dynamics

In summer 2016 I provided brief analysis of open DNS-resolvers (DDoS-attacks type DNS Amplification sources) by countries. Using the same shodan I decided to make NY report and to calculate the dynamics. The year is new but security holes are old.
http://1u88jj3r4db2x4txp44yqfj1.wpengine.netdna-cdn.com/wp-content/uploads/2014/04/ddos.jpg

So, NY report for DNS with open recursion has such behavior as to June one in integral TOP-10 for the world:


2016 2017 Fixed, %
China 1066365 604080 43,35
Taiwan 308033 244719 20,55
USA 254265 206442 18,81
Korea 252341 232386 7,91
Russia 172123 131060 23,86
India 160751 115616 28,08
Brazil 155392 155889 -0,32
Turkey 97970 74572 23,88
Japan 58950 49473 16,08
Italy 46168 54122 -17,23

понедельник, 2 января 2017 г.

Новый год: динамика латания дыр SNMP по странам

В прошлом году летом я приводил краткий анализ количества устройств с настройками SNMP по умолчанию (источников SNMP Amplification) по странам. Ради интереса решил из того же shodan сделать новогодний отчет и посмотреть динамику. Год новый, но дыры старые.

http://1u88jj3r4db2x4txp44yqfj1.wpengine.netdna-cdn.com/wp-content/uploads/2014/04/ddos.jpg

Новогодний отчет по SNMP на shodan, по сравнению с июньским, показал такую динамику в интегральном TOP-10:


2016 2017 Fixed, %
Brazil 1430670 1041122 27,23
USA 326735 240677 26,34
India 307155 210282 31,54
Korea 170979 173178 -1,29
China 121235 92019 24,10
Thailand 120263 61077 49,21
Colombia 104903 59178 43,59
Italy 87020 78970 9,25
Turkey 80880 50824 37,16
Iran 79506 57866 27,22

Страны с положительным процентом устранения уменьшили количество устройств с настройками SNMP по умолчанию, с отрицательным - увеличили.

В целом устройств с default SNMP community стало меньше. Если сделать подобный срез по всему миру, то увидим уменьшение количества уязвимых устройств:

TOTAL 3748045 2821398 24,72

Дифференциальный же TOP-10 на базе интегрального по проценту закрытых настроек SNMP по умолчанию выглядит следующим образом:


И в табличном виде:


Country Fixed, %
1 Thailand 49,21
2 Colombia 43,59
3 Turkey 37,16
4 India 31,54
5 Brazil 27,23
6 Iran 27,22
7 USA 26,34
8 China 24,10
9 Italy 9,25
10 Korea -1,29

Итого, из отчета видно, что в IPv4-пространстве мира стало в среднем на 24,7% меньше единиц с SNMP default community, которые дают всем возможность использовать их как источник DDoS-атак.

Возможные причины:
  • Инженеры изменили настройки SNMP по умолчанию
  • Инженеры отключили SNMP как неиспользуемый сервис
  • Хостеры/провайдеры заблокировали источники паразитного трафика
  • Обновленное ПО по умолчанию отключает SNMP
  • Shodan перестал видеть часть уязвимых серверов
  • Ваш вариант
Будем надеяться, что новый год поможет нам закрыть хотя бы старые дыры.
Как закрыть дырявый SNMP - написано здесь.

Новый год: динамика латания дыр DNS по странам

В прошлом году летом я приводил краткий анализ количества открытых DNS-резолверов (читай источников DDoS-атак DNS Amplification) по странам. Ради интереса решил из того же shodan сделать новогодний отчет и посмотреть динамику. Год новый, но дыры старые.
http://1u88jj3r4db2x4txp44yqfj1.wpengine.netdna-cdn.com/wp-content/uploads/2014/04/ddos.jpg

Новогодний отчет по DNS на shodan по сравнению с июньским показал такую динамику в интегральном TOP-10:


2016 2017 Fixed, %
China 1066365 604080 43,35
Taiwan 308033 244719 20,55
USA 254265 206442 18,81
Korea 252341 232386 7,91
Russia 172123 131060 23,86
India 160751 115616 28,08
Brazil 155392 155889 -0,32
Turkey 97970 74572 23,88
Japan 58950 49473 16,08
Italy 46168 54122 -17,23

Страны с положительным процентом устранения уменьшили количество открытых резолверов, с отрицательным - увеличили.

В целом устройств с открытым DNS стало меньше. Если сделать подобный срез по всему миру, то увидим уменьшение количества резолверов:

TOTAL 3537994 2710631 23,39

Дифференциальный же TOP-10 на базе интегрального по проценту закрытых резолверов DNS выглядит следующим образом:


И в табличном виде:


Country Fixed, %
1 China 43,35
2 India 28,08
3 Turkey 23,88
4 Russia 23,86
5 Taiwan 20,55
6 USA 18,81
7 Japan 16,08
8 Korea 7,91
9 Brazil -0,32
10 Italy -17,23

Итого, видно, что в IPv4-пространстве мира стало в среднем на 23,4% меньше DNS-серверов, которые дают всем возможность использовать их как источник DDoS-атак.
Возможные причины:
  • Инженеры перенастроили DNS-сервера на работу правильным образом
  • Инженеры отключили неиспользуемые сервисы
  • Хостеры/провайдеры заблокировали часть источников паразитного трафика
  • Обновленное ПО по умолчанию закрывает рекурсию
  • Shodan перестал видеть часть уязвимых серверов
  • Ваш вариант
Будем надеяться, что новый год поможет нам закрыть хотя бы старые дыры.
Как закрыть дырявый DNS - написано здесь (по-русски) и здесь (по-нерусски).