Современный и уникальный логотип о письме bc bluechip или процессор eps10 вектор
3000*3000
be careful warning signs warning signs be
2000*2000
bb письмо логотип дизайн шаблона вектор простой и минималистский
1202*1202
bb крем для кожи
3000*3000
Пришло время рассказать всю правду о взломе компании RSA / Хабр
У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году. Эти события навсегда изменили ландшафт мировой индустрии информационной безопасности. А именно, это было первая в истории атака на «цепочку поставок» (supply chain attack), которая вызвала серьёзную обеспокоенность у американских спецслужб, мягко говоря.
Что такое атака на цепочку поставок? Если вы не можете напрямую атаковать сильного противника типа АНБ или ЦРУ, то вы находите их партнёра — и внедряетесь в его продукт. Один такой взлом даёт доступ сразу в сотни серьёзно защищённых организаций. Так произошло недавно с SolarWinds. Но бывшие сотрудники компании RSA смотрят на SolarWinds и испытывают чувство дежавю. Ведь в 2011 году неизвестные хакеры получили доступ к самому ценному, что было в компании RSA — хранилищу сидов (векторов генерации). Они используются для генерации кодов двухфакторной аутентификации в аппаратных токенах SecurID, а это десятки миллионов пользователей в правительственных и военных агентствах, оборонных подрядчиках, банках и бесчисленных корпорациях по всему миру.
Впрочем, обо всё по порядку.
Энди Гринберг из журнала Wired поговорил с несколькими бывшими сотрудниками RSA. Один из них — Тодд Литхэм (Todd Leetham), «лысый и бородатый аналитик из отдела реагирования на инциденты, которого называли углеродной машиной для поиска хакеров». Именно он первым заподозрил неладное, обратив внимание, что один из пользователей вышел в сеть не со своего компьютера и с нестандартными правами. Он посмотрел логи этого юзера за несколько дней — и стало понятно, что тут взлом. Хакеры окопались во внутренней сети.
Хуже всего, что они добрались до хранилища сидов. Технически, этот сервер должен быть в офлайне, отключён от интернета и от остальной сети — защита air gap. Но на практике он был защищён файрволом и подключался каждые 15 минут, чтобы выдать новую порцию зашифрованных сидов, которые записывались на компакт-диски и отдавались клиентам. Затем они оставались в хранилище в виде резервной копии.
Исходя из этих векторов генерации происходила генерация кодов двухфакторной аутентификации на токенах SecurID, которые раздавались сотрудникам клиента.
То есть и токен, и сервер RSA независимо друг от друга генерировали одинаковые коды.
Согласно стандарту SecurID, каждому токену соответствует 128-битное случайное число — начальный вектор генерации (сид). Также в каждый токен встроены часы. Токен-код — результат работы запатентованного компанией RSA алгоритма, который в качестве параметров берёт текущее время и начальный вектор генерации. По токен-коду невозможно восстановить начальный вектор генерации, так как алгоритм работает в одну сторону.
Токен-код действителен в течение одной минуты (меняется раз в минуту и только один раз). Так как на сервере хранится соответствующие токенам начальные вектора генерации, то он в любой момент может по тому же самому алгоритму восстановить текущий токен-код. Для случая, если часы у сервера и токена расходятся, предусмотрена автоматическая синхронизация. Это достигается благодаря тому, что сервер вычисляет пароль не только для текущей минуты, но также прошлой и будущей минут. Таким образом, если PIN, введённый пользователем верен, а токен-код соответствует соседним минутам, то рассинхронизация учитывается для дальнейших операций.
Если кто-то добрался до хранилища сидов, то это компрометировало токены SecurID у всех клиентов. Поскольку это основной бизнес RSA, то в худшем раскладе компанию вообще можно закрывать…
Изучив сетевые логи, Литхэм пришёл к выводу, что эти «ключи к королевству» RSA действительно украдены.
Он с ужасом читал в логах, как хакеры девять часов методично выкачивали сиды из хранилища и отправляли их по FTP на взломанный сервер у облачного провайдера Rackspace. Но затем он заметил кое-что, что дало лучик надежды: в логах проскочили украденные креденшиалы, имя пользователя и пароль для этого взломанного сервера. Литхэм быстро подключился к удалённой машине Rackspace и ввёл украденные учётные данные. И вот оно: в директории на сервере всё ещё лежала вся украденная коллекция сидов в виде сжатого файла .rar.
Использовать взломанную учётку для входа на сервер, принадлежащий другой компании, и возиться с данными там, по признанию Литхэма, в лучшем случае является неортодоксальным шагом, а в худшем — серьёзное нарушение законов США о несанкционированном доступе к информации. Но, глядя на украденную святая святых RSA на этом сервере Rackspace, он не колебался: «Я был готов к последствиям, — говорит он. — В любом случае я не мог отдать наши файлы», — и он ввёл команду на удаление файла и нажал Enter.
Через несколько мгновений в консоль пришёл ответ: «Файл не найден». Он снова изучил содержимое сервера. Папка была пуста. Хакеры забрали базу с сервера за несколько секунд до того, как он попытался её удалить!
Он охотился за хакерами несколько суток днём и ночью, и вот теперь почти схватил за рукав убегавшего вора. Но тот буквально ускользнул сквозь пальцы, скрывшись в тумане с самой ценной информацией (как показало дальнейшее расследование, это могли быть хакеры из подразделения киберразведки APT1 Народно-освободительной армии Китая на базе войсковой части 61398 в пригороде Шанхая. Или кто-то искусно выдавал себя за них).
Расположение войсковой части 61398, источник
Через несколько дней RSA была вынуждена объявить о взломе. И это поистине изменило ландшафт кибербезопасности.
Первая успешная атака на цепочку поставок, жертвами которой стали тысячи организаций, самые защищённые агентства и военные подрядчики. Только спустя десять лет случилось нечто подобное с червём NotPetya, а затем с системой компании SolarWinds (18 000 клиентов по всему миру), но для того времени история RSA была беспрецедентной. Практически никто даже не предполагал, что можно проводить атаки таким образом — через «прокси» в цепочке поставок.
«Это открыло мне глаза на атаки типа supply chain, — говорит Микко Хиппонен, главный научный сотрудник F-Secure, которая опубликовала независимый анализ инцидента RSA. — И изменило мой взгляд на мир: если вы не можете проникнуть в цель, то находите технологию, которую использует жертва, и вместо этого проникаете туда».
Его коллега Тимо Хирвонен говорит, что инцидент стал тревожной демонстрацией растущей угрозы от нового класса хакеров. От высококлассных специалистов, которые выполняют заказы внешней разведки. Компания RSA работает в сфере информационной безопасности и её бизнес — защищать других. Если она не в силах защитить даже себя, то как она может защитить остальной мир?
Вопрос был вполне буквальным. Кража векторов генерации означала, что у тысяч клиентов RSA скомпрометирована критическая защита 2FA. После кражи векторов генерации злоумышленники могли вводить коды с токенов SecureID практически в любой системе.
Спустя десять лет закончился срок NDA у многих ключевых руководителей компании RSA — и мы можем узнать подробности этого инцидента. Сегодня взлом RSA видится как предвестник нашей теперешней эры цифровой незащищённости и невероятной активности государственных хакеров во многих сферах общественной жизни, включая социальные сети, СМИ и политику. Взлом RSA — это урок, как решительный противник может подорвать то, чему мы больше всего доверяем. А потому что не надо ничему доверять.
Анализ инцидента показал, с чего началась атака — с невинного письма по электронной почте, которое получил один сотрудник австралийского подразделения, с темой «План набора персонала на 2011 год» и приложенной электронной таблицей Excel.
Внутри был скрипт, который использовал 0day-уязвимость в Adobe Flash, устанавливая на компьютер жертвы хорошо известный троян Poison Ivy.
Точка входа в сеть RSA — совершенно банальное внедрение, которое бы не сработало, если бы жертва работала под управлением более новой версии Windows или Microsoft Office или был ограничен доступ к установке программ на свой компьютер, как рекомендуют сисадмины во многих корпоративных и правительственных сетях.
Но после этого проникновения злоумышленники начали демонстрировать свои реальные способности. На самом деле аналитики пришли к выводу, что в сети одновременно орудовали по крайней мере две группы. Одна группа получила доступ в сеть, а вторая группа высококвалифицированных специалистов использовала этот доступ, возможно, без ведома первой группы. Вторая атака была гораздо более продвинутой.
На компьютере австралийского сотрудника кто-то использовал инструмент, который извлекает учётные данные из памяти. Затем он использует эти учётки для входа в другие машины. Потом сканируется память этих новых компьютеров в поисках новых учёток — и так далее, пока не найдены логины привилегированных администраторов. В конце концов хакеры добрались до сервера, содержащего учётные данные сотен пользователей. Сегодня эта техника кражи учётных данных является распространённой. Но в 2011 году аналитики были удивлены, увидев, как хакеры продвигаются по всей сети: «Это был действительно самый жестокий способ эксплойтить наши системы, который я когда-либо видел», — говорит Билл Дуэйн (Bill Duane), опытный инженер-программист и разработчик алгоритмов RSA.
Обычно такие инциденты обнаруживают спустя месяцы после ухода хакеров. Но взлом 2011 года был особенным: в течение нескольких дней следователи, по сути, «догнали» хакеров и наблюдали за их действиями. «Они пытались проникнуть в систему, мы обнаруживали их через минуту или две, и тогда отключали систему полностью или доступ к ней, — говорит Дуэйн. — Мы сражались неистово как звери, в реальном времени».
Именно в разгар этой лихорадочной схватки Литхэм поймал хакеров на краже сидов с центрального хранилища, что предположительно было их приоритетной целью. Вместо обычных подключений каждые 15 минут, Литхэм видел в логах тысячи непрерывных запросов каждую секунду. Хакеры собирали векторы генерации не на одном, а на трёх скомпрометированных серверах, передавая запросы через ещё одну подключённую машину. Они распределили коллекцию сидов на три части, перенесли их на удалённый сервер Rackspace, а затем объединили в полную базу хранилища RSA. «Я подумал: это офигенно круто, — говорит Литхэм. — Я вроде как восхищался этим. Но в то же время понимал, что мы в полном дерьме».
Когда до Литхэма дошло, что коллекция сидов скопирована, и после того, как он сделал запоздалую попытку удалить файл с сервера, чудовищность события поразила его: он реально подумал, что компании RSA настал конец.
Поздно ночью служба безопасности узнала, что хранилище ограблено. Билл Дуэйн сделал звонок с предупреждением, что они физически отключат столько сетевых соединений, сколько необходимо, чтобы ограничить ущерб и остановить дальнейшую кражу данных. Они надеялись защитить информацию о клиентах, которая сопоставляется с конкретными векторами генерации. Кроме того, они хотели предотвратить кражу приватного ключа шифрования, необходимого для расшифровки сидов. Дуэйн с менеджером вошли в дата-центр и начали один за другим отсоединять кабели Ethernet, отключая все серверы и даже веб-сайт компании: «Я фактически закрыл бизнес RSA, — говорит он. — Я искалечил компанию, чтобы остановить любую потенциальную дальнейшую публикацию данных».
На следующий день генеральный директор RSA Арт Ковиелло (Art Coviello) сделал публичное заявление о том, что взлом продолжается. Масштабы вторжения всё увеличивались по мере раскрытия новых деталей. О взломе хранилища сидов SecurID поначалу не было известно, но когда вскрылся этот факт, руководству нужно было принять решение. Некоторые советовали скрыть этот факт от клиентов (среди них спецслужбы, разведка, армия США). Но всё-таки решили раскрыть информацию — персонально обзвонить каждого клиента и заменить все 40 с лишним миллионов токенов. Но у RSA и близко не было в наличии такого количества токенов… Только через несколько недель компания сможет возобновить производство, и то в меньшем количестве.
Группа из почти 90 сотрудников RSA заняла конференц-зал и начала многонедельный обзвон всех клиентов. Они работали по сценарию, проводя клиентов через защитные меры, такие как добавление или удлинение PIN-кода как части логина SecurID, чтобы усложнить репликацию хакерами. Во многих случаях клиенты начинали орать, вспоминает Дэвид Кастиньола (David Castignola), бывший директор по продажам RSA в Северной Америке. Каждый сделал по сотне таких звонков, даже топ-менеджерам и руководству пришлось этим заниматься (клиенты встречались слишком важные).
В то же время в компании начала распространяться паранойя. Кастиньола вспоминает, как в первую ночь проходил мимо маленькой комнатушки с сетевым оборудованием — а из неё вдруг начало выходить абсурдное количество людей, гораздо больше, чем он мог себе представить, что туда поместится. «Кто эти люди?» — спросил он у другого руководителя, стоявшего неподалёку. «Это правительство», — неопределённо ответил тот.
На самом деле, к тому времени АНБ и ФБР уже прислали своих людей, чтобы расследованию компании, также как и оборонный подрядчик Northrop Grumman и компания по реагированию на инциденты Mandiant (по случайности, сотрудники Mandiant уже были на месте во время взлома, устанавливая сенсоры для системы безопасности в сети RSA).
Сотрудники RSA начали принимать решительные меры. Обеспокоенные тем, что телефонная система может быть скомпрометирована, компания сменила операторов связи, перейдя с AT&T на Verizon. Руководители не доверяли даже новым телефонам, они проводили личные встречи и передавали бумажные копии документов. ФБР, опасаясь крота в RSA из-за очевидного уровня знаний злоумышленников о системах компании, начало проверять биографические данные всех сотрудников.
Окна некоторых офисов руководителей и конференц-залов были покрыты слоями обёрточной бумаги, чтобы предотвратить прослушку с помощью лазерных микрофонов воображаемыми шпионами в окрестных лесах, прямо как во время нынешней истерии с «гаванским синдромом». Здание проверили на наличие жучков. Несколько руководителей действительно нашли пару жучков, хотя некоторые из них были такими старыми, что у них сели батареи. Но не было понятно, имеют ли эти они какое-то отношение к инциденту.
Тем временем команда безопасности RSA и сторонние специалисты, привлечённые на помощь, начали «разрушать здание до фундамента», как они выражались. На каждой машине, к которой прикасались хакеры, форматировались диски, и даже на соседних машинах. «Мы физически обошли всё вокруг, и если на компьютере были хакеры, мы всё стирали, — говорит Сэм Карри (Sam Curry), бывший директор по безопасности RSA. — Если вы потеряли данные, очень жаль».
В конце мая 2011 года, примерно через два месяца после объявления об инциденте, RSA всё ещё восстанавливалась и извинялась перед клиентами. Но здесь пошла вторая волна.
Влиятельный техноблогер Роберт Крингли опубликовал слухи о взломе крупного оборонного подрядчика из-за скомпрометированных токенов SecureID. Всем сотрудникам компании пришлось менять токены.
Спустя два дня агентство Reuters раскрыло имя взломанного подрядчика: это был Lockheed Martin, настоящая золотая жила для промышленного шпионажа.
Многофункциональный истребитель-бомбардировщик пятого поколения F-35 Lightning II производства Lockheed Martin
В последующие дни в новостях упоминались оборонные подрядчики Northrop Grumman и L-3 Communications, говорилось о хакерах с векторами генерации для токенов SecurID, хотя конкретных доказательств никто не предоставил, по понятным причинам, ведь речь идёт о военных подрядчиках (см. топ-100 подрядчиков правительства США).
Однако в июне 2011 года исполнительный директор RSA признал, что украденные сиды действительно использовались в атаке на Lockheed Martin. Спустя десять лет он уже отказывается от своих слов. Теперь бывшие руководители компании говорят, что использование сидов RSA никогда не было доказано.
Хотя в 2013 году представители Lockheed Martin на форуме Kaspersky Security Analyst Summit в Пуэрто-Рико подробно рассказали, как хакеры использовали векторы генерации кодов для токенов SecurID в качестве ступеньки для проникновения в сеть.
Сейчас источник в компании Lockheed Martin подтверждает выводы того расследования. По его словам, компания видела, как хакеры вводили коды SecurID в режиме реального времени, при этом пользователи не теряли свои токены. После замены этих токенов хакеры продолжали безуспешно вводить коды со старых токенов.
АНБ, со своей стороны, никогда особо не сомневалось в роли RSA в последующих взломах. На брифинге в Сенатском комитете по вооружённым силам через год после взлома директор АНБ генерал Кит Александер (Keith Alexander) заявил, что взлом RSA «привёл к тому, что по крайней мере один американский оборонный подрядчик стал жертвой лиц, владеющих поддельными удостоверениями», а Министерство обороны было вынуждено заменить все токены RSA.
Когда стало известно о причастности группировки APT1, Билл Дуэйн распечатал фотографию их штаб-квартиры в Шанхае и приклеил к доске для игры в дартс в своём кабинете.
Дуэйн ушёл из RSA в 2015 году после более чем 20 лет работы в компании. Автор статьи в Wired Энди Гринберг задал ему такой вопрос: «Как ты думаешь, в какой момент история со взломом RSA действительно закончилась: после отключения серверов в дата-центре? Или когда АНБ, ФБР, Mandiant и Northrop закончили расследование и ушли?». Инженер ответил: «Мы считали, что атака никогда не закончилась. Мы знали, что они оставили бэкдоры и смогут проникнуть в сеть когда захотят».
Печальный опыт Дуэйна и компании RSA должен научить всех нас, что «каждая сеть грязна», как он выразился. Теперь он советует компаниям сегментировать системы и изолировать самые ценные данные так, чтобы они были недоступны даже для противника, который уже проник внутрь периметра.
Что касается Тодда Литхэма, то он наблюдал фиаско SolarWinds в течение последних шести месяцев с мрачным чувством дежавю. Выводы из истории RSA он формулирует в более резких выражениях, чем его коллега. По его мнению, это было редкое свидетельство того, как хрупка сегодня мировая система информационной безопасности: «Это карточный домик перед началом торнадо», — говорит он.
Он утверждает, что SolarWinds продемонстрировал, насколько ненадёжной остаётся эта структура. По мнению Литхэма, мир безопасности слепо доверял чему-то за пределами своей модели угроз. Никто не предполагал, что противник может это скомпрометировать. И вот опять противник вытащил карту, которая стояла в самом основании карточного домика, — а все думали, что это твёрдая почва.
«Ростелеком» и НКЦКИ выявили серию масштабных кибератак на российские органы государственной власти
Дочерняя компания «Ростелекома», национальный провайдер технологий кибербезопасности «Ростелеком-Солар», совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти.
Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.
Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов, — рассказал Николай Мурашов, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций.
Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное вредоносное ПО ранее нигде не встречалось.
Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.
Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.
Эффективное противодействие подобным кибергруппировкам возможно только при сочетании нескольких факторов: богатого опыта обеспечения безопасности органов государственной власти, расширенного стека технологий по выявлению современных атак и сильной экспертной команды, способной на круглосуточное противодействие современным группировкам,- сообщил Игорь Ляпунов, вице-президент «Ростелекома» по информационной безопасности.
Справка «БВ». Национальный координационный центр по компьютерным инцидентам (НКЦКИ) обеспечивает координацию деятельности субъектов критической информационной инфраструктуры (КИИ) Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. К основным функциям НКЦКИ относятся: координация мероприятий по реагированию на компьютерные инциденты и непосредственное участие в них; участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак; доведение до субъектов критической информационной инфраструктуры информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения; сбор, хранение и анализ информации о компьютерных инцидентах и компьютерных атаках, а также анализ эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
Взлом прошивок USB-устройств | Securelist
В этой статье я хочу продемонстрировать извлечение прошивки из защищенного USB-устройства, работающего на микроконтроллере Cortex M0.
Кто взламывает игровые приставки?
Производство пиратских, нелицензированных изделий — многомиллиардная индустрия и на рынке можно найти аксессуары практически для всех когда-либо вышедших игровых приставок. Здесь и устройства, позволяющие воспроизведение копий лицензионных игр из «бэкапов» с произвольных носителей, и контрафактные геймпады, и различные адаптеры для игровых контроллеров (в том числе дающие преимущество перед другим игроками), и гаджеты для применения читов в офлайн- и онлайн-играх. Разумеется, все эти устройства продаются вопреки желанию производителей игровых приставок.
Игровые консоли, как и двадцать лет назад, представляют собой проприетарные системы, производители которых навязывают свои правила миллионам пользователей: приставка должна исполнять только подписанный код, на ней можно играть только в легально приобретенные (и лицензионные) игры, и только «официальными» аксессуарами. В некоторых странах, взлом собственной приставки является нарушением закона.
В тоже время большое количество используемых производителями консолей способов защиты является вызовом для энтузиастов в области информационной безопасности. Особенно, если они любят видеоигры. В конце концов, чем сложнее задача, тем интересней ее решить.
Защита геймпада DualShock 4
Те читатели, которые следят за моим аккаунтом в Twitter, знают, что я давно увлекаюсь игровыми приставками, их реверсом, а также всем, что связано с консолями, в том числе, неофициальными игровыми устройствами. В первые дни существования PlayStation 4 публично известная уязвимость в ядре FreeBSD, на котором основано ядро этой приставки, позволила мне (и многим другим исследователям) приобщиться к архитектуре и принципам работы консоли Sony. Я провел множество исследований, в том числе, изучил принципы аутентификации игровой периферии и то, как PS4 отличает лицензированные устройства от нелегальных. Ранее я проводил подобные исследования других приставок, и авторизация периферийных устройств у PS4 оказалась хоть и проще чем у Xbox 360, но не менее эффективна.
Схема авторизации USB-аксессуаров PlayStation 4
PS4 посылает 0x100 случайных данных, в ответ на которые DualShock 4 генерирует подпись RSASSA-PSS SHA-256 и присылает её вместе с криптографическими константами N и E (публичный ключ), которые нужны для верификации этой подписи. Эти константы уникальны для каждого выпущенного геймпада. Также геймпад посылает подпись для верификации N и E, алгоритм тот же — RSASSA-PSS SHA-256, но криптографические константы едины для всех приставок и хранятся в ядре приставки.
Таким образом, чтобы авторизовать свое устройство недостаточно взломать ядро приставки — нужно иметь приватный ключ геймпада. И если кто-то всё-таки взломает геймпад и получит его, то у Sony остается возможность заблокировать ключ с обновлением прошивки. Также, если в течении 8 минут приставка не получает авторизационное сообщение от геймпада, то она прекращает «общение» с ним, и чтобы продолжить использование устройства нужно отключить его от консоли и подключить заново. Симуляция этого процесса очень раздражала владельцев первых нелегальных геймпадов.
Слухи о суперподделке DualShock 4
Схему аутентификации DualShock 4 не могли взломать довольно долго. Но в какой-то момент я услышал, что на рынке появились поддельные геймпады, которые выглядят и работают в точности, как оригинальные. Мне захотелось посмотреть на них своими глазами и, оформив несколько заказов на китайских торговых площадках, я стал ждать.
Время ожидания было решено скрасить поиском подробной информации о подделках. После некоторого количества поисковых запросов, я наткнулся на контроллер Gator Claw.
Неавторизированный геймпад Gator Claw
Интересным в нем было то, что, судя по обсуждению контроллера на Reddit, сначала он работал, как и другие неавторизованные геймпады — по 8 минут, но разработчики смогли это исправить в обновлении прошивки. На сайте магазина была доступна ссылка на файл обновления и руководство по его установке, которые я и скачал.
Инструкция по обновлению геймпада Gator Claw
Основы анализа embedded прошивок
Первым делом я решил взглянуть на секцию ресурсов программы, устанавливающей обновление прошивки и сразу сделал несколько интересных открытий.
Прошивка, найденная в ресурсах программы обновления Gator Claw
Читатели, знакомые с программированием embedded-устройств, наверняка узнают этот формат. Это файловый формат Intel HEX который часто применяется для программирования микроконтроллеров и многие компиляторы, например, GNU Compiler, могут выводить скомпилированную программу в таком формате. Также мы можем видеть, что начало этой прошивки не имеет большой энтропии и последовательности байтов легко различимы, что означает отсутствие шифрования или сжатия. После декодирования Intel HEX стрима и загрузки в редактор (010 Editor умеет открывать файлы прямо в таком формате) мы можем взглянуть на прошивку. Что это за архитектура? ARM Cortex-M настолько распространен что я различаю его с первого взгляда.
Прошивка Gator Claw (слева) и векторная таблица ARM Cortex-M (справа)
Согласно спецификации первое двойное слово — это начальная вершина стека, после него идет таблица прерываний. Первое слово в этой таблице — Reset vector, служащий точкой входа. Также можно сразу обратить внимание на верхнюю часть адресов других обработчиков прерываний, что дает нам представление о базовом адресе прошивки.
Помимо этого, в ресурсах был найден файл конфигурации с описанием различных микроконтроллеров. Скорее всего, разработчики программы для обновления задействовали некий общедоступный код от производителя микроконтроллера и наиболее вероятно, что этот файл конфигурации шел вместе с этим публичным кодом.
Файл конфигурации с описанием различных микроконтроллеров
После поиска идентификаторов из файла конфигурации мы находим сайт производителя этих микроконтроллеров – Nuvoton. Продуктовая линейка, техническая документация и SDK свободно доступны на сайте, и, более того, для их скачивания не нужно принимать какое-либо соглашение.
Сайт производителя микроконтроллеров Nuvoton
Благодаря этому у нас есть прошивка, мы знаем архитектуру и производителя микроконтроллера, у нас есть сведения о базовом адресе, вершине стека и точке входа. Доступной информации более чем достаточно, чтобы загрузить прошивку в IDA Pro и приступить к анализу.
В процессорах ARM поддерживаются два режима исполнения кода с различными инструкциями: ARM (32-битные инструкции) и Thumb (16-битные инструкции, дополненные Thumb-2 32-битными инструкциями). Cortex-M0 поддерживает только режим Thumb, поэтому мы установим переключатель в Processor options – Edit ARM architecture options – Set ARM instructions на NO во время загрузки прошивки.
Мы видим, что прошивка хорошо загрузилась по базовому адресу 0, автоматический анализ распознал практически все функции. И теперь встает вопрос – как правильно анализировать прошивки?
Одна из функций, присутствующих в прошивке
Если изучить эту прошивку, то мы увидим, что она совершает большое количество операций чтения и записи к памяти с базовым адресом 0x40000000. Это базовый адрес где находится память, отведенная под ввод-вывод (memory mapped input output — MMIO). Через эти адреса предоставляется доступ ко всем периферийным компонентам, которые есть у микроконтроллера. Все что делает прошивка происходит через доступ к MMIO-регистрам.
Схема адресов периферийных устройств
Найдя в документации адрес 0x40000000 мы узнаем, что этот микроконтроллер серии M451. Зная семейство микроконтроллера, можем скачать SDK и образцы кода для этой платформы. Внутри SDK мы находим заголовочный файл с объявлением всех MMIO-адресов, всех битовых полей и структур. Так же мы можем скомпилировать образцы кода и все библиотеки, а затем сравнить их с функциями в нашей IDB, или мы можем просто искать имена MMIO адресов в исходном коде и сравнивать их с нашим ассемблерным кодом. Это превращает процесс обратной разработки прошивки в простой и легкий процесс. Анализ был бы намного сложнее если бы у нас не было информации об архитектуре и модели микроконтроллера, и MMIO-регистрах. К слову, именно поэтому многие производители делятся SDK только после подписи NDA.
Процесс нахождения библиотечных функций в коде прошивки
Но что по-настоящему заинтересовало меня в этой прошивке — одна неиспользуемая строка с именем крупного производителя электроники (наиболее известного своими логическими анализаторами, но, как оказалось, имеющего и игровое подразделение). Судя по всему, она должны была быть частью USB Device Descriptor, но этот дескриптор не был использован.
В тени гиганта
Мне удалось найти магазин с огромным ассортиментом игровых аксессуаров, продаваемых под единой торговой маркой. Среди продаваемых аксессуаров числились два десятка различных адаптеров для подключения геймпадов одной приставки к другой. К примеру, отдельный продукт для подключения геймпада Xbox 360 к приставке PS4, отдельный продукт для подключения геймпада PS3 к приставке Xbox One, и многие другие, включая «все в одном». Также ассортимент продукции включает адаптеры для подключения клавиатуры и мыши к консолям PS4, Xbox One и Nintendo Switch, различные игровые геймпады и печатные платы для создания своих аркадных контроллеров для приставок. Все продукты шли с обновлениями, аналогичными тому, которое шло с Gator Claw, но с существенным отличием – все прошивки были зашифрованы.
Пример инструкции и зашифрованной прошивки из ресурсов программы обновления к одному из продуктов
Теперь попробуем найти фотографии печатных плат аркадных контроллеров, что позволит оценить схему устройства, не покупая и не разбирая его. Скорее всего их дизайн идентичен дизайну Gator Claw. На найденных фотографиях мы можем видеть два микроконтроллера: один из них должен быть Nuvoton M451, а другой – вспомогательный, для секретов: производители понимают, что конкуренты могут изучить их прошивку, и чтобы предотвратить это используют второй микроконтроллер. Забегая вперед, скажу, что в нашем случае он тоже присутствовал. Данные для аутентификации передаются в него по протоколу I2C и после получения отправляются обратно на приставку.
Поскольку все дорожки идут к микроконтроллеру под черной эпоксидной смолой, мы можем заключить, что это главный микроконтроллер. А микроконтроллер с четырьмя желтыми ножками соответствует требованиям для работы по протоколу I2C и является вспомогательным.
Примеры внутреннего дизайна выпускаемой продукции
Внутри контроллера
К этому моменту я наконец получил посылку из Шэньчжэня, и надо сказать, что контрафактный гаджет очень сложно отличить от оригинального DualShock 4: геймпад выполнен из качественных материалов, touchpad работает, динамик и гарнитура тоже.
Контрафактный DualShock 4 (вид снаружи)
С помощью комбинации клавиш из инструкции я проверил, что геймпад переходит в DFU-режим, и приступил к разборке. Отмечу, что при этом на ПК геймпад определился как другое устройство, с иными идентификаторами и характеристиками.
Контрафактный DualShock 4 (вид на главную плату)
Я припаял провода к отладочным площадкам и подключил программатор. Программатор определил устройство, но security lock был установлен.
Программатор определил микроконтроллер и включенный Security Lock
Метод взлома прошивок USB-устройств
Дизайн USB-протокола определяет две сущности — хост и остальные устройства, которые подключаются к нему. Они, в свою очередь, разделяются на классы: hub, human interface, printer, imaging, mass storage device и другие.
Схема подключения USB устройств
Общение между устройствами и хостом происходит посредством односторонних и двухсторонних каналов. Под каналом мы подразумеваем передачу данных между программой на хосте и конкретным «конечной точкой» на устройстве. Таких точек может быть несколько для передачи различных данных.
Схема типов передачи данных
Существует четыре типа передачи данных:
Control Transfers (используется для конфигурации)
Bulk Data Transfers (большие количества последовательных данных)
Interrupt Data Transfers (используются для своевременной и точной передачи данных)
Isochronous Data Transfers (беспрерывный поток данных)
Все USB-устройства должны иметь особый канал на нулевой конечной точке, зарезервированный для конфигурации устройства.
Эти типы передачи данных осуществляются посредством пакетов, представленных на рисунке ниже:
Пакеты, задействованные в протоколе USB
По факту, USB-протокол — это машина состояния, и в этой статье мы не будем останавливаться на каждом из этих пакетов. Ниже представлен пример осуществления Control Transfer:
Control Transfer
Устройства могут содержать уязвимости в каждом из четырех типов передачи данных, но эти типы опциональны, к тому же их наличие и применение будет сильно отличаться от устройства к устройству. Но все устройства поддерживают Control Transfers и формат, по большей части, един для всех устройств, что делает данный тип передачи данных наиболее интересным для анализа на наличие уязвимостей.
Диаграмма ниже изображает формат SETUP-пакета, который используется для выполнения Control Transfer.
Формат SETUP-пакета
SETUP-пакет занимает 8 байт и может предоставлять различные данные в зависимости от типа запроса. Некоторые из них едины для всех устройств (например, дескрипторы), другие зависят от класса устройства или желания производителя. Размер передаваемых/получаемых данных задается 16-битным словом и также передается в SETUP-пакете.
Примеры запросов
Подводя итог: Control Transfers используют простой протокол, поддерживаемый всеми USB-устройствами, которые могут иметь множество дополнительных команд, и мы контролируем размер данных. Все это делает Control Transfers идеальной целью для фаззинга и глитчинга.
Эксплуатация
Для взлома поддельного геймпада мне не пришлось прибегать к фаззингу т.к. я нашел баги еще во время просмотра кода прошивки Gator Claw.
Уязвимый код в обработчике HID реквестов
Функция HID_ClassRequest() написана для симуляции работы оригинального геймпада DualShock 4, и поддерживает минимум необходимых запросов для работы с приставкой PlayStation 4. USBD_GetSetupPacket() получает SETUP-пакет и в зависимости от типа переданного репорта либо получит, либо отправит данные функциями USBD_PrepareCntrlIn() и USBD_PrepareCntrlOut(). Как можно заметить, запрошенный размер данных не проверяется и это должно дать нам возможность читать часть внутренней памяти, где хранится прошивка, а также читать и писать в начало SRAM-памяти.
Переполнение буфера в процессе Control Transfer
Размер DATA-пакета задается в USB Device Descriptor (который также получается с помощью Control Transfer) но, похоже, что остается не учтен тот факт, что этот размер указывает на размер одного пакета, а их может быть сколько угодно в зависимости от размера, заданного в SETUP-пакете.
Примечательно, что образцы кода, размещенные на сайте Nuvoton, также не содержат проверок на размер и могут привести к большему количеству багов в различных проектах из-за копирования этого кода.
Эксплуатация переполнения буфера в SRAM памяти
SRAM (Static random access memory) — это оперативная память, в которой помимо прочего находится стек. Очень часто SRAM также является исполняемой памятью (настраивается), обычно это делается для улучшения производительности – основная прошивка может скопировать в SRAM часто вызываемый код, например, код Real-Time Operating System. Нет гарантий, что вершина стека будет находиться в достижимых пределах переполнения буфера, но вероятность этого велика.
Неожиданно, но главным препятствием на пути к эксплуатации уязвимостей в прошивках USB-устройств являются операционные системы. Нижеперечисленное характерно для Windows, но думаю, что актуально и для Linux-based систем без специальных исправлений.
Во-первых, ОС не позволяет прочесть больше 4 килобайт во время передачи данных Control Transfer. Во-вторых, по моему опыту ОС не позволяет записать больше одного пакета с данными во время Control Transfer. В-третьих, USB-устройство может использовать «скрытые» запросы, которые ОС откажется посылать.
Это легко продемонстрировать на примере устройств HID (Human Interface Device), к которым относится геймпад. У них есть дополнительные дескрипторы: HID Descriptor, Report Descriptor, Physical Descriptor. Второй из списка отличается от каких-либо других дескрипторов и состоит из программных единиц, описывающих доступные репорты. Если запрос не описан в Report Descriptor, то в таком случае ОС откажется его выполнить даже если он обрабатывается в устройстве. Все это противодействует нахождению и эксплуатации уязвимостей.
Чтобы решить эту проблему без необходимости разбираться и перекомпилировать ядро Linux, я воспользовался low end инструментами которые были у меня под рукой: плата Arduino Mega + USB Host Shield (общая стоимость — менее 30 $).
Схема подключения устройств
После подключения устройств по представленной выше схеме, я воспользовался Arduino для выполнения Control Transfer без каких-либо вмешательств со стороны операционной системы.
Arduino Mega + USB Host Shield
Поддельный геймпад содержал те же уязвимости что и Gator Claw, и первое что я сделал — «сдампил» часть прошивки.
«Сдампленная» часть прошивки
Для нахождения базового адреса дампа нашей прошивки достаточно найти структуру с указателями на известные данные. После этого мы можем посчитать дельту и загрузить полученную часть прошивки в IDA Pro.
Структура с указателями на известные данные
Дамп прошивки позволил нам узнать адрес функции printf(), которая выводит в UART информацию, необходимую для контроля качества. Также анализ дампа позволили найти аналог функции hexdump(), что полностью освобождает нас от необходимости написания шеллкода.
Нахождение функций, облегчающих эксплуатацию
После нахождения контактов UART на плате геймпада, припаивания проводов и подключения их к TTL2USB адаптеру мы видим вывод в терминале.
Стандартный UART вывод при включении геймпада
Стандартная библиотека для микроконтроллеров Nuvoton идет с очень удобным обработчиком Hard Fault исключений, который выводит дамп регистров. Это сильно облегчает эксплуатацию и позволяет отлаживать эксплойт.
Вывод в UART при Hard Fault исключении, вызванным перезаписью стека
Финальный эксплойт для дампа прошивки:
Эксплойт и шеллкод для получения дампа прошивки по UART
Но этот способ дампа нельзя считать полноценным, поскольку серия микроконтроллеров Nuvoton M451 позволяет использовать две различные прошивки: основную (APROM) и мини-прошивку для DFU-обновлений (LDROM).
Схема Flash и системной памяти Nuvoton M451 в различных режимах исполнения
Эти прошивки транслируются на одни и те же адреса памяти, поэтому в зависимости от текущего режима можно прочесть только одну из них. Для того, чтобы получить дамп прошивки LDROM, нам нужно отключить security lock и прочитать Flash-память с помощью программатора.
Шеллкод, снимающий security lock
Криптофейл
Изучение прошивки обновлений (LDROM) показало, что это стандартный код от Nuvoton, но с добавленным шифрованием обновлений прошивок.
Шифрование представляет собой кастомный блочный алгоритм, выполненный в режиме сцепления блоков шифротекста, длина которых составляет всего 32 бита. В этот алгоритм предоставляются ключ, который является текстовым (ASCII) идентификатором продукта, и массив инструкций, которые определяют, какое преобразование сделать с текущим блоком. После достижения конца ключа и массива, их позиция устанавливается на начальную. Список преобразований включает в себя шесть операций: xor, subtraction, subtraction (reverse), и повтор этих преобразований с переустановкой байт. Так как в прошивках присутствуют большие области, состоящие из нулевых байт, это позволяет с легкостью посчитать секретные составляющие этого алгоритма.
Раскрытие ключа шифрования обновления прошивки
Применение алгоритма, извлеченного из прошивки контрафактного геймпада, ко всем прошивкам аксессуаров, доступных на сайте OEM-производителя, показало, что они все используют этот алгоритм шифрования. Это позволяет высчитать ключи шифрования для всех устройств и расшифровать все представленные прошивки. Таким образом, алгоритм, вложенный в контрафактный продукт поставил под угрозу безопасность всех продуктов производителя.
Заключение
Пост получился очень большим, но я хотел подготовить его для наиболее широкой аудитории. В этой статье я продемонстрировал полный процесс анализа embedded-прошивок, поиска и эксплуатации уязвимости для получения дампа, исполнения произвольного кода на USB-устройстве. Хоть глитчинг-атаки не вошли в статью, они тоже очень эффективны при взломе USB-устройств. Для желающих узнать об этом больше рекомендую ознакомиться с этим видео. А тем, кто задался вопросом, как пираты получили ключи и алогритм из DualShock 4, советую почитать этот материал.
Что касается тайны со вспомогательным микроконтроллером, то оказалось, что, во-первых, он присутствует не во всех устройствах, а во-вторых, добавлен всего лишь для запутывания и не хранит никаких секретов, выполняя лишь операции SHA1 и SHA256. Контроллер Nuvoton M451, может быть объектом для дальнейших исследований т.к. во время этого исследования он продемонстрировал некоторые признаки, которые могут свидетельствовать о наличии архитектурных уязвимостей.
Покупателей контрафактных геймпадов не ждет ничего хорошего: Sony заблокирует нелегально используемые ключи, и пользователи останутся без рабочего контроллера.
Гарантированный взлом. Пять слабых звеньев ИБ.
Гарантированный взлом. Пять слабых звеньев ИБ.
Несмотря на то, что внешнему периметру сети уделяется самое пристальное внимание со стороны как системных администраторов, так и безопасников, в большинстве случаев становится возможным проникнуть во внутреннюю сеть используя различные вектора атаки. Безусловно, многие из пробиваемых векторов связаны с масштабом исследуемой сети, со штатом работающих в ней сотрудников, а также с границами проведения работ (чем шире границы работ, тем выше вероятность успешного проникновения). Однако, из всех используемых векторов атаки при проведении подобных работ, можно выделить те, на долю успешности реализации которых приходится наибольшее количество проникновений. Следовательно, обращая внимания на используемые недостатки, перечисленные ниже, можно снизить риски информационной безопасности, связанные с компрометацией информационной системы со стороны внешнего злоумышленника. Итак, наиболее опасным вектором проникновения, конечно же, является использование человеческого фактора. Социальная инженерия это самый пробиваемый вектор атаки при проведении внешнего пентеста. Что тут можно добавить? Во-первых, для минимизации последствий подобной атаки, безусловно, необходимо обучать пользователей основам безопасности при работе в Интернете. Однако этого недостаточно, т. к. при грамотно организованной социалке, даже матерые системные администраторы могут допустить оплошность и осуществить переход по ссылке на вроде бы безобидный сайт, тем самым сдав свою сеть атакующему. Поэтому необходима организация комплекса мер по защите информации, в том числе организация работы конечных пользователей и системных администраторов с пониженными привилегиями, различные проактивные механизмы защиты на рабочих местах, контроль трафика и пр. Во-вторых, достаточно часто при проведении вектора атаки с использованием социальной инженерии применяется вектор атаки с эксплуатацией уязвимостей в ПО на рабочих местах. Поэтому, стоит обратить внимание на процесс управления обновлениями, и не только со стороны продуктов компании Microsoft, но и со стороны обновления таких продуктов, как уязвимых компонентов ActiveX, Flash Player или Acrobat Reader, на долю которого по заявлениям F-Secure приходится около 28,6% успешных атак. name=’more’> Второй по пробиваемости вектор атаки также тесно связан с человеческой природой. Это использование простых паролей для доступа к информационным системам. Сколько на эту тему не говорили бы специалисты по информационной безопасности, но пользователи по-прежнему продолжают использовать брутабельные пароли. В редких случаях, тем же грешат и админы. Вектор атаки типа «брутфорс» замечательно пробивает внешний периметр, позволяя например, получить доступ к электронной корпоративной почте (которая в редких случаях является шифрованной), а в некоторых случаях и без труда проникнуть в обследуемую сеть (например, по VPN). Самой лучшей защитой от подобного вектора атаки является использование аппаратных токенов с цифровыми сертификатами, хранимыми на них. Во всех остальных случаях достаточно атакующему получить список всех пользователей системы, как многие учетные записи будут скомпрометированы. Используемая строгая политика при создании паролей, способна лишь снизить процент скомпрометированных учетных записей во внешних системах, но никак не обеспечивает полной защиты от подобной атаки. Стоит добавить, что хорошей практикой минимизации последствий атаки типа «брутфорс» является грамотно спроектированный мониторинг осуществления аутентификации в информационных системах. Однако подобные механизмы встречаются довольно редко. Третий вектор атаки, отрабатывающий достаточно часто это успешная атака на внешние web-приложения. Что уж тут и говорить, когда порядка 83% из них могут содержать критические уязвимости . А эксплуатируемый совместно с кривым разделением внутренних подсетей (приходилось наблюдать сети, когда ДМЗ превращают в «дуршлаг» и выйти из которого во внутреннюю сеть является достаточно простой задачей), данный вектор во многих случаях позволяет добиться отличных результатов при проникновении. Для защиты от угроз, связанных с эксплуатацией уязвимостей в web, в первую очередь стоит закладывать в ТЗ требования к безопасности при его проектировании. Совсем не лишним является независимый аудит web-приложения, и как превентивная мера использование Web Application Firewall (WAF). Следующий вектор, который отрабатывает гораздо реже это эксплуатация server-side уязвимостей в сетевых сервисах пограничных узлов. Причины, по которым вектор «выстреливает» реже остальных заключается в том, что большинство уязвимых сервисов прикрыты файрволом, а вовсе не потому, что для внешних систем во время устанавливаются критические обновления от производителей. И стоит лишь пробиться в ДМЗ, как не эффективный path management позволяет скомпрометировать другие ресурсы и пентест из разряда внешнего плавно переходит во внутренний:) Атака на беспроводные сети является достаточно перспективным и в большинстве случаях успешным вектором проникновения в сеть Заказчика подобных услуг. И не столько успешность данного вектора определяет используемые точки доступа (хотя, конечно наличие не безопасных точек доступа с WEP это своего рода приглашение во внутреннюю сеть), подключенные к исследуемой сети, сколько беспроводные адаптеры, используемые на рабочих местах пользователей. Уязвимости в драйверах беспроводных адаптеров и возможность подключить клиента к фальшивой точке доступа атакующего, позволяет с минимальными усилиями получить несанкционированный доступ в сеть. Ситуацию усугубляет также появление все большего числа ноутбуков в корпоративных сетях, и как следствие, появление в ней большего числа потенциально уязвимых мишеней для атакующего. Прикрыть данный вектор атаки, конечно же можно. Для этого необходимо организовать комплекс мер по защите сети от угроз со стороны беспроводных сетей. Начиная от бумажных вещей, объясняющих процессы защиты от подобных угроз, и заканчивая технической реализацией в соответствии с принятой внутренней политикой и стратегией развития компании.
мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на
, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как
Vector в контакте — Взлом игры Vector (прокачка, читы на Вектор)
Геймеру, любителю занимательной игры Vector всегда хочется добиться ощутимого преимущества в игре, чтобы любой ценой стать победителем. Довольно часто он готов использовать для достижения поставленной цели нечестные средства и методы. Одним из таких методов может быть специальное средство для взлома игры Вектор, которые можно скачать у нас бесплатно и все они рабочие. С выходом каждой новой версии игры, задания в ней становятся все более сложными и увлекательными, а пройти их уходит слишком много времени, именно для этого и создан специальный чит на Вектор, который поможет взломать и прокачать игру.
Основная цель человека, который играет в Vector – первым пройти трассу и не стать жертвой охотников. Чтобы успешно пройти все этапы игры Вектор, персонаж должен постоянно двигаться, бегать и прыгать.
Пока персонаж того или иного игрока успешно выполняет поставленные перед ним довольно сложные задания, то он практически в полной безопасности. Ему абсолютно ни по чем любые препятствия, козни и происки его соперников. Одержать победу над соперником – весьма выполнимая цель, но для этого нужно проявить смекалку, скорость движений и сообразительность. Именно эти качества являются особенно ценными для хорошего результата.
Чтобы получить нужные артефакты, В Векторе придется потратить уйму времени и довольно длительное время оставаться на одном уровне игры. Выходом из этой ситуации может стать средство для взлома игры Вектор, которые мы предлагаем вам. Таким действенным средством может быть чит для игры Вектор или специальная программа, с помощью которой можно найти баг или секрет в егре Vector. Также без особых усилий игрок может достичь специальных ресурсов, которые несомненно приведут его к желаемому успеху. При этом геймеру вовсе не нужно вкладывать собственные денежные средства в игру, так как при помощи чито можно в считанные минуты прокачать игру Вектор и достигнуть нужных результатов бесплатно. Скачать читы на игру Вектор можно в низу этой записи, и сразу же приступить к прокачке игры.
Чтобы успешно взломать Vector, следует через специальную программу установить необходимые обновления. Для этого игроку понадобятся ресурсы которые необходимы для победы. С помощью средства для взлома Vector, геймер сможет занять победное место в рейтинге. Статистика для каждого уровня ведется именно по рейтингу. Игрок сможет занять желаемое первое место, но для этого он должен пройти игру как можно быстрее. Это удастся сделать лишь в том случае, если открыты все трюки современных гаджетов.
Средство для взлома игры Vector подойдет к любому аккаунту. Средство для взлома игры Vector – читу, также обладает специальным антибаном, который геймер активирует при установке средства для взлома (чита для игры Вектор).
Игра Vector – не только увлекательное средство, которое позволит приятно провести несколько мгновений досуга, но и весьма действенный способ для улучшения логического и абстрактного мышления, смекалки, креативных способностей и умственных ресурсов и талантливости игрока, но с взломом, прокачкой при помощи чита для игры Вектор это будет куда инрересней.
Скачать чит-программу для взлома (прокачки) игры Вектор бесплатно можно чуть ниже, нажав на ссылку “Скачать”. Пользоваться ней элементарно.
После скачивания, установите чит на Вектор себе на ПК, запустите его и войдите в игру, выберете необходимые вам функции:
Что такое вектор атаки?
Что такое вектор атаки?
Определение вектора атаки : В кибербезопасности вектор атаки — это метод или путь, используемый хакером для доступа или проникновения в целевую систему. Хакеры крадут информацию, данные и деньги у людей и организаций, исследуя известные направления атак и пытаясь использовать уязвимости, чтобы получить доступ к нужной системе. Как только хакер получает доступ к ИТ-инфраструктуре организации, он может установить вредоносный код, который позволяет ему удаленно управлять ИТ-инфраструктурой, шпионить за организацией или красть данные или другие ресурсы.
Векторы атаки могут быть использованы самыми разными группами, от недовольного бывшего сотрудника вашей организации, который хочет подорвать ваш бизнес, до разведывательной службы иностранного правительства, которая хочет украсть ваши технологии. Существует также множество различных известных векторов атак, которые эти группы могут эффективно использовать для получения несанкционированного доступа к вашей ИТ-инфраструктуре. ИТ-организации могут противостоять кибератакам с помощью ряда различных методов, включая обнаружение событий в режиме реального времени и возможности реагирования, которые нейтрализуют кибератаки до того, как они могут привести к потере данных.
Разница между вектором атаки и поверхностью атаки
Вектор атаки — это путь, по которому хакер использует уязвимости кибербезопасности. Принимая во внимание, что поверхность атаки — это все общедоступные и частные точки связи данных вашей компании и взаимодействия человека или программного обеспечения.
Почему векторы атак используются в атаках на кибербезопасность?
Хакеры зарабатывают деньги, выполняя вредоносные кибератаки на программные системы, но они не всегда стремятся украсть данные кредитных карт или банковскую информацию.Некоторые хакеры разработали более изощренные способы монетизации своих действий, которые менее очевидны, чем скомпрометированный номер кредитной карты.
Заражение ваших систем ботами , к которым хакер может получить удаленный доступ с удаленного сервера управления и контроля. Некоторые хакеры заражают сотни или тысячи компьютеров ботами, чтобы создать сеть, известную как ботнет. Что такое ботнет? Ботнеты могут использоваться для рассылки спама, выполнения кибератак, кражи данных или добычи криптовалюты.
Кража данных клиентов — распространенная мотивация для хакеров, атакующих организации, которые собирают и хранят большие объемы персональных данных своих клиентов. Хакеры любят красть персонализированную медицинскую информацию, поскольку ее можно использовать для мошенничества со страховкой или кредитными картами или для незаконного получения рецептурных лекарств.
Атака типа «отказ в обслуживании» (DoS) может привести к перегрузке ваших систем и незапланированным отключениям обслуживания. Предприятия могут инициировать DoS-атаки на своих конкурентов, чтобы повредить их ИТ-инфраструктуру и снизить продажи.
Есть хакеры, мотивация которых не связана с деньгами, например, те, кто хочет передать секретную информацию общественности, поставить в неловкое положение того, с кем не согласен, или сделать политическое заявление. Однако для большинства ИТ-организаций большинство кибератак исходит от хакеров, пытающихся украсть личные и финансовые данные.
Как использовать векторы атаки?
Кибератаки совершают самые разные хакеры.
Типы хакеров, использующих векторы атак
Недовольный бывший сотрудник может знать об уязвимых векторах атак из-за своей роли в компании.
Отдельный хакер может пытаться украсть личную информацию.
Хактивист может инициировать кибератаку на вашу организацию, чтобы сделать политическое заявление.
Бизнес-конкуренты могут попытаться атаковать вашу ИТ-инфраструктуру, чтобы получить конкурентное преимущество.
Группы киберпреступников объединяют свой опыт и ресурсы для проникновения в сложные системы безопасности и кражи больших объемов данных у крупных компаний.
Методология вектора атаки
Во всех этих случаях общая методология использования векторов атак одинакова:
Хакеры идентифицируют целевую систему, в которую они хотят проникнуть или использовать
Хакеры используют инструменты сбора данных и наблюдения, такие как прослушивание, электронные письма, вредоносное ПО или социальную инженерию, чтобы получить больше информации о цели
Хакеры используют эту информацию, чтобы определить лучшую вектор атаки, затем создают инструменты для его использования
Хакеры взламывают систему безопасности с помощью созданных ими инструментов, затем устанавливают вредоносные программные приложения
Хакеры начинают контролировать сеть, похищая ваши личные и финансовые данные или заражая ваши компьютеры и другие конечные устройства с вредоносными программами-ботами
Защита потенциальных векторов атак от использования хакерами требует от ИТ-организаций внедрения политик и процедур, которые не позволяют хакерам получить полезную информацию об уязвимостях ИТ-безопасности.
Каковы распространенные векторы атак в ИТ-инфраструктуре?
ИТ-организациям необходимо знать о наиболее распространенных векторах вредоносных кибератак, чтобы эффективно защищать свои сети от несанкционированного доступа.
Наиболее распространенные векторы атак
Это наиболее распространенные векторы атак, используемые хакерами, и способы защиты от них.
Фишинговые электронные письма — Фишинговые электронные письма являются одним из наиболее распространенных типов кибератак.Их может быть особенно трудно смягчить, потому что, хотя ИТ-персонал может быть сообразителен в проверке содержимого электронной почты, представители бизнеса могут этого не делать. Фишинговые электронные письма пытаются обмануть получателя, чтобы он отказался от конфиденциальной информации, часто предоставляя ему ссылку на вредоносный веб-сайт.
Стратегия смягчения последствий: ИТ-организация должна поощрять сообщения о фишинговых сообщениях электронной почты и блокировать известных отправителей вредоносной почты с помощью централизованного фильтра электронной почты, чтобы предотвратить бомбардировку пользователей фишинговыми сообщениями. Простые эвристики, такие как «Всегда убедитесь, что вы находитесь на странице входа в компанию, прежде чем вводить свои учетные данные», могут помочь менее искушенным пользователям избежать обмана фишинговыми электронными письмами.
Вредоносное ПО . Вредоносное ПО — это универсальный термин, описывающий любую программу, внедряющую вредоносный код в вашу ИТ-инфраструктуру. Вирусы, черви и трояны — все это примеры вредоносных программ. Вредоносное ПО может распространяться по всей ИТ-инфраструктуре, создавая много сверхурочной работы для групп ИТ-безопасности и потенциально подвергая риску ценные данные и снижая доступность услуг.
Стратегия смягчения последствий: Атаки нулевого дня трудно избежать, но поддержание антивируса и брандмауэра в актуальном состоянии может значительно снизить вероятность успешной вирусной атаки на вашу организацию.
Неисправленные уязвимости — Когда разработчик программного обеспечения обнаруживает серьезную уязвимость в своем приложении, он пишет для нее исправление и выпускает исправление, чтобы пользователи могли его установить. Если ваша ИТ-организация пренебрегает регулярной установкой исправлений, хакеры могут использовать известную уязвимость в качестве вектора атаки для взлома вашей системы безопасности.
Стратегия смягчения последствий: регулярно проверяйте все свои приложения и серверы на наличие доступных исправлений и выполняйте обновления как можно скорее, чтобы снизить уязвимость.
Мониторинг потенциальных векторов кибератак с помощью Sumo Logic
Sumo Logic использует машинное обучение и анализ больших данных для предоставления лучших в отрасли возможностей ИТ-безопасности, включая обнаружение угроз, реагирование на инциденты и криминалистическое расследование. Sumo Logic получает информацию об угрозах от CrowdStrike через актуальную базу данных IOC (Indicators of Compromise), которая содержит самую свежую информацию об известных угрозах и векторах атак.
Полная видимость для DevSecOps
Сокращение времени простоя и переход от реактивного к упреждающему мониторингу.
Что такое вектор атаки?
Что такое вектор атаки?
Вектор атаки — это путь или средство, с помощью которого злоумышленник или хакер может получить доступ к компьютеру или сетевому серверу для доставки полезной нагрузки или вредоносного результата. Векторы атак позволяют хакерам использовать уязвимости системы, включая человеческий фактор.
Распространенные векторы кибератак включают вирусы и вредоносное ПО, вложения электронной почты, веб-страницы, всплывающие окна, мгновенные сообщения (IM), чаты и обман. За исключением обмана, все эти методы включают в себя программирование или, в некоторых случаях, аппаратное обеспечение. Обман — это когда человека-оператора обманом заставляют снять или ослабить защиту системы.
В некоторой степени брандмауэры и антивирусное программное обеспечение могут блокировать векторы атак. Но ни один метод защиты не является полностью защищенным от атак. Метод защиты может быстро устареть, так как хакеры постоянно обновляют векторы атак и ищут новые в своем стремлении получить несанкционированный доступ к компьютерам и серверам.
Наиболее распространенными вредоносными полезными нагрузками являются вирусы, которые могут действовать как собственные векторы атак, троянские кони, черви и шпионское ПО. Сторонние поставщики и поставщики услуг также могут рассматриваться как векторы атаки, поскольку они представляют риск для организации, если у них есть доступ к ее конфиденциальным данным.
Как кибер-злоумышленники используют векторы атак?
Хакеры обладают глубокими знаниями об общих векторах атак безопасности, которые им доступны.При определении того, как взломать один из этих векторов безопасности, они сначала ищут уязвимости или дыры в безопасности в этих векторах, через которые, по их мнению, они могут проникнуть.
Дыра в системе безопасности может быть обнаружена в программном обеспечении или операционной системе компьютера (ОС). Иногда уязвимость системы безопасности может открыться из-за ошибки программирования в приложении или неправильной конфигурации безопасности. Взломы могут быть даже низкотехнологичными, такими как получение учетных данных сотрудника или взлом здания.
Хакеры постоянно сканируют компании и отдельных лиц, чтобы выявить все потенциальные точки входа в системы, приложения и сети. В некоторых случаях они могут даже нацеливаться на физические объекты или находить уязвимых пользователей и внутренних сотрудников, которые намеренно или непреднамеренно делятся своими учетными данными для доступа к информационным технологиям (ИТ).
В чем разница между вектором атаки и поверхностью атаки?
Эти два термина часто используются взаимозаменяемо, но это не одно и то же.Вектор атаки отличается от поверхности атаки, поскольку вектор — это средство, с помощью которого злоумышленник получает доступ, а поверхность атаки — это то, что подвергается атаке.
Одним из самых известных взломов была атака на цепочку поставок SolarWinds. Было предпринято расследование для определения векторов атак, но утечка могла быть результатом скомпрометированных учетных данных или возможного доступа через среду разработки программного обеспечения для управления ИТ Orion от SolarWinds.
10 наиболее распространенных векторов атак
Злоумышленники постоянно ищут новые направления атаки. К наиболее распространенным векторам атак относятся следующие:
Уязвимости программного обеспечения. Если в сети, ОС, компьютерной системе или приложении есть незакрытые уязвимости безопасности, злоумышленник может использовать вектор угрозы, например вредоносное ПО, для получения несанкционированного доступа.
Скомпрометированные учетные данные пользователя. Пользователи могут намеренно или непреднамеренно делиться своими идентификаторами пользователей и паролями. Это можно сделать в устной форме, но кибер-злоумышленники также могут получить доступ к учетным данным с помощью грубой силы, которая пытается использовать различные комбинации идентификаторов пользователей и паролей, пока не будет раскрыт авторизованный набор учетных данных. Затем хакер использует эти учетные данные для взлома сети, системы или приложения.
Ненадежные пароли и учетные данные. При атаках методом грубой силы кибер-злоумышленники сосредотачивают свои усилия на взломе идентификаторов пользователей и паролей, которые являются слабыми или легко угадываемыми.Но хакеры также крадут учетные данные, используя программы, которые отслеживают общедоступные сети Wi-Fi, когда пользователи вводят свои учетные данные для доступа. Например, хакер может установить программное обеспечение для кейлоггеров на рабочую станцию пользователя через зараженный веб-сайт или электронную почту. Программа кейлогинга регистрирует действия пользователя с клавиатурой, включая ввод идентификатора пользователя и пароля. Хакеры также могут получить доступ, побуждая пользователей открывать нежелательные вложения электронной почты, которые содержат вредоносные ссылки на поддельные веб-сайты, которые убеждают их предоставить личную информацию (PII).
Злоумышленники. Злоумышленники или недовольные сотрудники могут взломать сети и системы, используя свои допуски к безопасности для извлечения конфиденциальной информации, такой как списки клиентов и интеллектуальная собственность (IP), за которую они либо требуют выкуп, либо продают другим в гнусных целях.
Плохое или отсутствующее шифрование. В некоторых случаях сотрудники или ИТ-специалисты могут забыть зашифровать конфиденциальную информацию, хранящуюся на ноутбуках и смартфонах в полевых условиях.В других случаях методы шифрования имеют известные недостатки конструкции или используют только ограниченные ключи для шифрования и защиты данных.
Программа-вымогатель . Программа-вымогатель — это тип вредоносного ПО, которое блокирует данные на компьютере жертвы, и злоумышленник либо угрожает опубликовать данные жертвы, либо блокирует доступ к ним, если не будет выплачен выкуп. Программа-вымогатель может заблокировать файлы пользователя, часто требуя от пользователя денежную сумму, чтобы разблокировать файлы. Большинство программ-вымогателей непреднамеренно загружаются на компьютер или в сеть пользователем.Он может быть в виде открываемого пользователем файла, содержащего червя, представляющего собой вредоносное ПО, которое распространяется по сети, или троянца, внедряющего вредоносный программный код в загруженный файл, который блокирует компьютер или данные пользователя и потом требует оплаты.
Фишинг. Фишинг — это мошенническая практика отправки электронных писем, в которых злоумышленник выдает себя за представителя уважаемой компании, с целью заставить людей раскрыть личную информацию, такую как пароли или номера кредитных карт. Целевой фишинг — это целенаправленная атака, нацеленная на одного получателя с целью получения несанкционированного доступа к конфиденциальной информации компании.
Неверно настроенные устройства. Компании могут неправильно настроить безопасность своего программного и аппаратного обеспечения, что делает их уязвимыми для хакеров. Предварительные настройки безопасности поставщика для оборудования являются слабыми, и если ИТ-отдел не реконфигурирует это оборудование перед его установкой в сети, могут произойти взломы системы безопасности. В других случаях компании закупают оборудование и забывают полностью настроить безопасность.
Доверительные отношения. Во многих случаях компании доверяют свою безопасность сторонним поставщикам систем и сетей, облачным провайдерам и деловым партнерам. Когда системы этих третьих сторон взламываются, информация, которую получают хакеры, может также содержать конфиденциальную информацию от компаний, которые обслуживают эти провайдеры. Примеры включают взлом сети крупного оператора кредитных карт или взлом системы здравоохранения и кражу конфиденциальных данных пациентов.
D распределенные атаки типа «отказ в обслуживании» (DDoS) . DDoS-атаки забрасывают жертв фальшивыми электронными письмами, делая их системы или сети непригодными для использования, а службы недоступными для предполагаемых получателей. Эти атаки часто нацелены на веб-серверы финансовых, коммерческих и государственных организаций и часто используются, чтобы отвлечь организацию от других сетевых атак.
Как защитить устройства от распространенных векторных атак
Злоумышленники используют различные методы для проникновения в корпоративные ИТ-активы.Поскольку эти методы продолжают развиваться, задача ИТ-отдела состоит в том, чтобы определить и внедрить политики, инструменты и методы, наиболее эффективные для защиты от этих атак. Ниже приведен список эффективных методов защиты:
Внедрение эффективных политик паролей. Убедитесь, что имена пользователей и пароли соответствуют критериям длины и надежности, а одни и те же учетные данные не используются для доступа к нескольким приложениям и системам. Используйте двухфакторную аутентификацию (2FA) или методы проверки, такие как пароль и персональный идентификационный номер (PIN), чтобы обеспечить дополнительный уровень защиты доступа к системе.
Установите программное обеспечение для мониторинга безопасности и составления отчетов. Сюда входит программное обеспечение, которое отслеживает, идентифицирует, предупреждает и даже блокирует точки входа в сети, системы, рабочие станции и пограничные технологии при обнаружении потенциальной атаки со стороны неустановленного или неавторизованного пользователя или источника.
Регулярно проверяйте и тестируйте ИТ-ресурсы на наличие уязвимостей. Как минимум, тестирование ИТ-уязвимости должно проводиться ежеквартально, а сторонняя аудиторская фирма по ИТ-безопасности должна проверять ИТ-ресурсы на уязвимость ежегодно. Основываясь на этих выводах, политики безопасности, методы и методы предотвращения должны быть немедленно обновлены.
Держите ИТ-безопасность в центре внимания. Инвестиции в безопасность стоят денег, и директор по информационным технологиям (CIO) и директор по безопасности (CSO) нуждаются в утверждении этих покупок главным исполнительным директором (CEO) и советом директоров. Для этого требуются регулярные инструктажи и обучение руководителей высшего звена, чтобы они понимали важность защиты ИТ и последствия для компании и ее репутации, если ИТ не будут защищены.
Обучение пользователей. Все новые сотрудники должны проходить комплексное обучение политикам и методам обеспечения безопасности ИТ, а существующие сотрудники должны ежегодно проходить курсы повышения квалификации. ИТ-персонал, особенно в области безопасности, должен быть в курсе последних политик и методов обеспечения безопасности.
Взаимодействие с отделом кадров (HR). Аудит уязвимостей социальной инженерии должен проводиться сторонней аудиторской фирмой не реже одного раза в два-три года.Если есть подозрительная активность сотрудника, ИТ-отдел должен немедленно предупредить HR, чтобы он мог принять соответствующие меры, будь то встреча с сотрудником, ограничение доступа сотрудника, обучение сотрудника или увольнение сотрудника.
Немедленно установить все обновления. Всякий раз, когда выпускается обновление аппаратного обеспечения, микропрограммы или программного обеспечения, ИТ-отдел должен незамедлительно установить его. Если устройства используются в полевых условиях, обновления безопасности должны предоставляться в виде push-уведомлений, когда программное обеспечение или встроенное ПО обновляются автоматически.
Используйте тонкие клиенты для компаний с политикой использования собственных устройств (BYOD). Предпочтительно размещать все корпоративные данные в защищенном облаке или другой корпоративной системе, чтобы пользователи могли входить в систему из дома или со своих устройств через виртуальную частную сеть (VPN), которая ограничена определенным набором пользователей и не открыт для публики. Это исключает хранение конфиденциальных данных на удаленных устройствах.
Используйте надежное шифрование данных на портативных устройствах.Независимо от того, является ли портативное устройство ноутбуком, смартфоном, датчиком или любым другим типом пограничного устройства, шифрование данных должно использоваться везде, где хранятся конфиденциальные данные. Это можно сделать, выбрав надежную технологию шифрования данных, такую как Advanced Encryption Standard (AES). Правительство США использует AES, который содержит 192- и 256-битные ключи для шифрования данных.
Просмотрите и установите все конфигурации безопасности для операционных систем, интернет-браузеров, программного обеспечения безопасности, сетевых концентраторов и периферийных устройств, таких как датчики, смартфоны и маршрутизаторы.Часто системы, браузеры, концентраторы и устройства Интернета вещей (IoT) поставляются с минимальными настройками безопасности по умолчанию, и компании забывают настроить эти параметры. В качестве стандартной практики компаниям следует проверять и, при необходимости, сбрасывать настройки безопасности на всех новых ИТ-ресурсах.
Безопасные физические пространства. Хотя большинство утечек данных и взломов системы безопасности нацелены на ИТ, физический доступ также может иметь место. Центры обработки данных, серверы, расположенные в различных бизнес-подразделениях и удаленных полевых офисах, медицинское оборудование, полевые датчики и даже физические картотеки в офисах — все это объекты для взлома.Они должны быть закреплены, защищены и регулярно проверяться.
Для получения дополнительной информации о кибератаке через бэкдор SolarWinds перейдите в центр новостей о взломе SolarWinds .
Что такое вектор кибератаки? Типы и как их избежать
Распространенные типы векторов атак
Существует много типов атак, при этом киберпреступники используют множество методов для нападения на крупные и малые организации из любой отрасли, а также на отдельных лиц почти любого уровня бизнеса. Ниже перечислены некоторые из наиболее распространенных векторов угроз.
Скомпрометированные учетные данные
Слабые и скомпрометированные учетные данные являются наиболее часто используемым вектором атаки, поскольку люди продолжают использовать слабые пароли для защиты своих учетных записей и профилей в Интернете. Скомпрометированные учетные данные возникают, когда такая информация, как имена пользователей или пароли, становится доступной для третьих лиц, таких как мобильные приложения и веб-сайты. Это часто происходит из-за того, что жертвы фишинга раскрывают злоумышленнику свои данные для входа, вводя их на поддельном веб-сайте.Утерянные и украденные учетные данные позволяют злоумышленнику без обнаружения получать доступ к учетным записям пользователей и корпоративным системам, а затем повышать свой уровень доступа в сети.
Сотрудники должны использовать надежные пароли и рассмотреть возможность использования диспетчера паролей, чтобы ограничить вероятность кражи учетных данных злоумышленником. Чтобы избежать риска компрометации учетных данных, организации должны отказаться от использования только паролей и внедрить многофакторную аутентификацию (MFA) для проверки личности пользователей. Обучение сотрудников также имеет жизненно важное значение для того, чтобы пользователи понимали риски безопасности, с которыми они сталкиваются, и признаки потенциальной кибератаки.
Вредоносное ПО
Вредоносное ПО — это термин, описывающий различные виды вредоносного программного обеспечения, в том числе программы-вымогатели, шпионское ПО, трояны и вирусы. Киберпреступники используют вредоносное ПО в качестве вектора угрозы, чтобы получить доступ к корпоративным сетям и устройствам, а затем похитить данные или повредить системы.
Предотвращение вредоносного ПО зависит от понимания признаков атаки, таких как схемы фишинга, побуждающие пользователей делиться ценной информацией.Для защиты от вредоносных программ требуются такие технологии, как песочница, брандмауэры, а также антивирусное и антивредоносное программное обеспечение, которое обнаруживает и блокирует потенциальные атаки.
Фишинг
Фишинг — это электронная почта, служба коротких сообщений (SMS) или телефонный вектор атаки, который видит, что злоумышленник выдает себя за доверенного отправителя, чтобы обмануть цель и выдать конфиденциальные данные, такие как учетные данные для входа или банковские реквизиты.
Организации могут защитить своих сотрудников и клиентов от фишинговых атак, используя спам-фильтры, развертывая MFA, обеспечивая установку исправлений и обновлений программного обеспечения и блокируя вредоносные веб-сайты. Однако лучший способ защититься от фишинга — предположить, что каждое электронное письмо является частью фишинговой атаки. Это также сводится к обучению сотрудников и зависит от их осведомленности об общих рисках безопасности, таких как никогда не нажимать на какие-либо ссылки в электронном письме.
Внутренние угрозы
Некоторые атаки на систему безопасности исходят изнутри организации, когда сотрудники раскрывают злоумышленникам конфиденциальную информацию. Хотя это может быть случайным, злоумышленники раскрывают корпоративные данные или уязвимости третьим лицам. Часто это недовольные или недовольные сотрудники, имеющие доступ к конфиденциальной информации и сетям.
Организациям может быть сложно обнаружить злонамеренных инсайдеров, в основном потому, что они являются авторизованными пользователями с законным доступом к корпоративным сетям и системам. Таким образом, компаниям следует отслеживать доступ к сети на предмет необычной активности или доступа пользователей к файлам или системам, которые обычно недоступны, что может быть индикатором внутреннего риска.
Отсутствует или слабое шифрование
Шифрование – это метод, который скрывает истинное значение сообщения и защищает цифровые данные, преобразовывая их в код или зашифрованный текст. Это гарантирует, что данные в сообщении не могут быть прочитаны неавторизованной стороной, что помогает предотвратить кражу конфиденциальной информации киберпреступниками.
Отсутствие, плохое или слабое шифрование приводит к передаче конфиденциальных данных в виде открытого текста.Это может привести к его раскрытию для неавторизованных сторон в случае перехвата или получения с помощью грубой атаки. Чтобы избежать этого, пользователи должны использовать надежные методы шифрования, в том числе Advanced Encryption Standard (AES) или шифрование Rivest-Shamir-Adleman (RSA), и всегда обеспечивать шифрование конфиденциальной информации во время хранения, обработки и передачи.
Неисправленные приложения или серверы
Киберпреступники всегда ищут потенциальные открытые двери или уязвимости в программном обеспечении и серверах.Когда они находят и используют уязвимость, о которой никто не знает, пока не произойдет нарушение, это называется атакой нулевого дня.
Организации и пользователи могут избежать атак этого типа, установив исправления для своего программного обеспечения, операционных систем и серверов. Это означает применение обновления программного обеспечения или кода исправления к программе или серверу для устранения уязвимости. Регулярные исправления разработчиками программного обеспечения — лучшая стратегия для смягчения потенциальных атак. Чтобы помочь в этом и предотвратить любые пробелы, которые могут представлять уязвимость для злоумышленника, пользователи должны убедиться, что автоматическое обновление программного обеспечения включено.
Распределенный отказ в обслуживании (DDoS)
DDoS-атака происходит, когда злоумышленник перегружает сервер интернет-трафиком, используя несколько компьютеров, также известный как ботнет. Это препятствует доступу пользователей к службам и может привести к сбою сайта организации.
Атаку DDoS можно смягчить с помощью брандмауэров для фильтрации и предотвращения вредоносного трафика. Другие инструменты защиты включают в себя регулярную оценку рисков, дифференциацию трафика для рассеивания трафика и предотвращения целенаправленной атаки, а также ограничение скорости для ограничения количества запросов, которые может получить сервер.
8 распространенных векторов кибератак и как их избежать
Если вы профессионал в области кибербезопасности и живете в современном кибермире, кишащем акулами, ваша миссия — опережать злоумышленников и обеспечивать безопасность вашего предприятия. Это начинается с понимания ваших уязвимостей, знания множества способов взлома вашей защиты, а затем с внедрения средств защиты, необходимых для поддержания надежной и отказоустойчивой системы кибербезопасности. Это большая работа, критически важная для благополучия вашего предприятия.
Поверхность атаки, векторы атаки и нарушения определены
Независимо от бизнеса или отрасли, вот три ключевых термина, которые лежат в основе киберзащиты каждого предприятия:
Поверхность атаки
Общее количество точек в сети, где могут происходить атаки, когда неавторизованный пользователь («злоумышленник») может попытаться манипулировать или извлечь данные, используя множество методов взлома (« векторов кибератак »). Если вы рассмотрите график, где по оси x перечислены все устройства и приложения в вашей сети (инфраструктура, приложения, конечные точки, IoT и т.), а ось Y — различные методы взлома, такие как слабые пароли и пароли по умолчанию, повторно используемые пароли, фишинг, социальная инженерия, неисправленное программное обеспечение, неправильные настройки и т. д. — график представляет собой поверхность вашей атаки.
Поверхность корпоративной атаки
Вектор кибератаки
Метод или способ злоумышленника может взломать или проникнуть во всю сеть/систему. Векторы атак позволяют хакерам использовать уязвимости системы, включая человеческий фактор.
Нарушение безопасности
Любой инцидент безопасности, при котором конфиденциальные, защищенные или конфиденциальные данные получают доступ или украдены неуполномоченной стороной, что ставит под угрозу бренд, клиентов и активы организации.Такие инциденты, как DDoS, майнинг биткойнов и т. д., также являются нарушениями безопасности. Утечки данных являются наиболее распространенными, но не все инциденты безопасности связаны с кражей данных.
8 распространенных векторов кибератак и как их избежать
1. Скомпрометированные учетные данные
Имя пользователя и пароль по-прежнему являются наиболее распространенным типом учетных данных для доступа. Скомпрометированные учетные данные описывают случай, когда учетные данные пользователя, такие как имена пользователей и пароли, становятся доступными для неавторизованных лиц. Обычно это происходит, когда ничего не подозревающие пользователи становятся жертвами фишинговых атак и вводят свои учетные данные на поддельных веб-сайтах.В случае потери, кражи или раскрытия скомпрометированные учетные данные могут дать злоумышленнику доступ к внутренней информации. Хотя мониторинг и анализ внутри предприятия могут выявлять подозрительную активность, эти учетные данные эффективно обходят защиту периметра и усложняют обнаружение. Риск, связанный со скомпрометированными учетными данными, зависит от уровня доступа, который он предоставляет. Учетные данные привилегированного доступа, которые предоставляют административный доступ к устройствам и системам, обычно представляют более высокий риск для предприятия, чем учетные данные потребителя.И не только люди имеют полномочия. Серверы, сетевые устройства и инструменты безопасности часто имеют пароли, которые обеспечивают интеграцию и связь между устройствами. В руках злоумышленника эти межмашинные учетные данные могут позволить перемещаться по всему предприятию как по вертикали, так и по горизонтали, предоставляя почти неограниченный доступ.
Сделайте это, чтобы избежать этого:
Распространенные имена пользователей и ненадежные пароли могут привести к компрометации учетных данных, поэтому важно, чтобы на предприятии существовали эффективные политики паролей, обеспечивающие достаточную надежность паролей.
Совместное использование паролей между службами делает уязвимыми все приложения, использующие общие учетные данные, в результате взлома одной службы или приложения в когорте. Не используйте один и тот же пароль для доступа к нескольким приложениям и системам.
Использование двухфакторной аутентификации с помощью второго доверенного фактора может уменьшить количество нарушений, происходящих из-за скомпрометированных учетных данных в организации.
2. Слабые и украденные учетные данные
Ненадежные пароли и повторное использование паролей делают раскрытие учетных данных шлюзом для первоначального доступа и распространения злоумышленников.Недавние атаки вредоносного ПО, такие как Mirai, выдвигают на первый план эту угрозу не только для управляемых устройств, но и для устройств, подключенных к Интернету вещей.
Приложения и протоколы, отправляющие учетные данные для входа по вашей сети, представляют серьезную угрозу безопасности. Злоумышленник, подключенный к вашей сети, может легко найти и использовать эти учетные данные для бокового перемещения. Например, в атаке Target злоумышленники смогли украсть учетные данные Active Directory и распространить свою атаку на корпоративную платежную сеть.
Сделайте это, чтобы избежать этого:
Отслеживайте гигиену и использование паролей на всем предприятии, чтобы выявлять пользователей с высоким риском и их устройства.
3. Злонамеренные инсайдеры
Злонамеренный инсайдер — это сотрудник, раскрывающий информацию о частной компании и/или использующий уязвимости компании. Злонамеренные инсайдеры часто являются недовольными сотрудниками. Пользователи, имеющие доступ к конфиденциальным данным и сетям, могут нанести значительный ущерб из-за неправомерного использования привилегированных лиц и злонамеренных намерений.
Сделайте это, чтобы избежать этого:
Следите за недовольными сотрудниками и отслеживайте доступ к данным и сети для каждого устройства и пользователя, чтобы подвергать риску инсайдеров.
4. Отсутствует или плохое шифрование
Шифрование данных переводит данные в другую форму, которую могут прочитать только люди, имеющие доступ к секретному ключу или паролю. Зашифрованные данные обычно называют зашифрованным текстом, а незашифрованные данные — открытым текстом. Целью шифрования данных является защита конфиденциальности цифровых данных, поскольку они хранятся в компьютерных системах и передаются через Интернет или другие компьютерные сети. Сильное шифрование должно применяться к данным в состоянии покоя, в движении и, где это возможно, в процессе обработки.
Отсутствие/плохое шифрование приводит к тому, что конфиденциальная информация, включая учетные данные, передается либо в виде открытого текста, либо с использованием слабых криптографических шифров или протоколов. Это означает, что злоумышленник, перехватывающий хранение, передачу или обработку данных, может получить доступ к конфиденциальным данным, используя подходы грубой силы для взлома слабого шифрования.
Сделайте это, чтобы избежать этого:
Не полагайтесь исключительно на низкоуровневое шифрование и не предполагайте, что соблюдение требований означает, что данные надежно зашифрованы.
Убедитесь, что конфиденциальные данные шифруются при хранении, передаче и обработке.
5. Неправильная конфигурация
Неверная конфигурация — это ошибка в конфигурации системы. Например, если страницы настройки включены или пользователь использует имена пользователей и пароли по умолчанию, это может привести к взлому. Если конфигурация сервера установки/приложений не отключена, хакер может определить скрытые недостатки и получить дополнительную информацию. Неправильно настроенные устройства и приложения представляют собой удобную точку входа для злоумышленника.
Сделайте это, чтобы избежать этого:
Внедрите процедуры и системы, упрощающие процесс настройки, и по возможности используйте автоматизацию. Мониторинг параметров приложений и устройств и сравнение их с рекомендуемыми передовыми практиками выявляет угрозу для неправильно настроенных устройств, расположенных в вашей сети.
6. Программы-вымогатели
Программы-вымогатели — это форма кибервымогательства, при которой пользователи не могут получить доступ к своим данным до тех пор, пока не будет выплачен выкуп. Пользователям показываются инструкции о том, как заплатить за получение ключа дешифрования.Затраты могут варьироваться от нескольких сотен долларов до тысяч и выплачиваться киберпреступникам в биткойнах.
Сделайте это, чтобы избежать этого:
Убедитесь, что у вас есть системы, которые защищают все ваши устройства от программ-вымогателей, в том числе постоянно обновляйте и исправляйте операционную систему, чтобы уменьшить количество уязвимостей, которые можно использовать, и не устанавливайте программное обеспечение или не предоставляйте ему административные привилегии, если вы точно не знаете, что именно это и что он делает.
7. Фишинг
Фишинг — это тактика киберпреступления, при которой с жертвами связывается по электронной почте, телефону или текстовым сообщением кто-то, выдающий себя за законное учреждение, чтобы заманить людей для предоставления конфиденциальных данных, таких как личная информация, данные банковских и кредитных карт и пароли. Он по-прежнему остается одним из самых эффективных векторов атак социальной инженерии. Некоторые фишинговые схемы невероятно сложны и иногда могут выглядеть совершенно невинно. Взлом Office of Personnel Management (OPM) демонстрирует, как фишинг может обойти почти все уровни традиционной безопасности, такие как шлюзы электронной почты и элементы управления конечными точками.
Сделайте это, чтобы избежать этого:
Измерение поведения пользователей и устройств при просмотре веб-страниц и просмотре электронной почты дает ценную информацию о рисках для вашего предприятия.
Если вы сомневаетесь, лучше всего позвонить в организацию, от которой вы получили электронное письмо, чтобы определить, является ли это фишинговым мошенничеством или нет.
8. Доверительные отношения
Отношения доверия относятся к определенному уровню доверия, существующему между пользователями и системами. Например, доверительные отношения могут соединять два домена, поэтому пользователю нужно войти в систему только один раз, чтобы получить доступ к ресурсам. Двумя доменами в доверительных отношениях являются доверенный домен (домен, который аутентифицирует пользователя в первый раз) и доверительный домен (домен, который полагается на доверенный домен для аутентификации пользователей и предоставляет доступ к своим ресурсам без повторной аутентификации пользователя). Пользователь).Один из распространенных примеров сценария нарушения — это когда учетные данные кэшируются на доверенном клиенте, который затем нарушается, что приводит к хаосу.
Сделайте это, чтобы избежать этого:
Управление доверительными отношениями может помочь вам ограничить или устранить воздействие или ущерб, которые может нанести злоумышленник. BeyondCorp от Google — пример практики безопасности с нулевым доверием.
Другие методы взлома
Уязвимости нулевого дня
Это уязвимость, о которой никто не знает, пока не произойдет взлом (отсюда и название «нулевой день», поскольку между моментом атаки и обнародованием уязвимости не прошло времени). Если разработчик не выпустил патч для уязвимости нулевого дня до того, как хакер воспользуется этой уязвимостью, то следующая атака называется атакой нулевого дня. Написание POC-эксплойтов красной командой — это способ смягчить уязвимости нулевого дня.
Атака грубой силой
Это безжалостная атака, основанная на пробах и ошибках, когда хакер пытается определить пароли или получить доступ к зашифрованным данным. Подобно вору, который пытается взломать сейф, атака грубой силы пробует множество различных комбинаций, пока наконец не сработает одна из них.Брутфорс работает по всем векторам атаки, описанным выше; включая атаки на пароли, взлом слабого шифрования и т. д., поэтому технически это не вектор атаки сам по себе.
ДДоС
Распределенный отказ в обслуживании (DDoS) — это кибератака на сетевой ресурс (например, сервер, веб-сайт) со стороны многочисленных скомпрометированных компьютерных систем. Сетевой ресурс наводнен посторонними сообщениями, что приводит к замедлению и/или сбою цели, что делает ее недоступной для авторизованных пользователей и систем. DDoS-атака обычно происходит из-за компрометации нескольких систем. Потенциальным методом смягчения этого является использование CDN, обратных прокси-серверов, прокси-серверов высокой доступности и т. д., которые создают уровни защиты между системами, обслуживающими контент, и клиентами, запрашивающими контент.
Четыре кадра, которые нужно сохранить на экране радара
Программные компоненты с высокой степенью риска , такие как Java, Flash и IE, подвержены атакам нулевого дня из-за большого количества присущих им уязвимостей, многие из которых не раскрываются публично.Устройства с таким опасным программным обеспечением, которые активно доступны в Интернете, особенно подвержены атакам.
Неправильно настроенные устройства и приложения представляют собой удобную точку входа для злоумышленника. Мониторинг параметров приложений и устройств и сравнение их с рекомендуемыми передовыми практиками может помочь вам выявить неправильно настроенные устройства, расположенные в вашей сети.
Незашифрованные или слабо зашифрованные сетевые соединения и протоколы делают ваше предприятие уязвимым для атак типа «человек посередине».Кроме того, устройства и пользователи, которые подключаются к небезопасным сетям и приложениям, подвергаются риску и могут быть скомпрометированы.
Неисправленные уязвимости легко используются вредоносными программами для заражения вашей конечной точки или сервера. Хотя продукты для управления уязвимостями предоставляют список устройств, которые необходимо исправить, реальная проблема заключается в том, чтобы определить устройства с высоким риском, которые можно легко использовать/захватить для проведения атак. Уязвимости в критической инфраструктуре или устройствах с доступом к конфиденциальным данным представляют значительный риск для вашего предприятия
Заключение
Конечная цель злоумышленников и злонамеренных инсайдеров — получить доступ к вашим дорогостоящим устройствам, приложениям и данным. Оставленные незащищенными устройства и пользователи, имеющие доступ к конфиденциальным приложениям, данным и сетям, будут представлять значительный риск для вашего предприятия.
Чтобы опередить плохих парней, вам нужно начать с понимания своих уязвимостей, знания множества способов взлома вашей защиты, а затем внедрить средства защиты, необходимые для поддержания надежной и отказоустойчивой системы кибербезопасности. Сведение к минимуму поверхности атаки следует рассматривать как базовую меру безопасности и является ключом к поддержанию высокого уровня безопасности.Кроме того, управление доверительными отношениями может помочь вам ограничить или устранить воздействие или ущерб, которые может нанести злоумышленник.
Новый вектор локальной атаки расширяет поверхность атаки уязвимости Log4j
Исследователи кибербезопасности обнаружили совершенно новый вектор атаки, который позволяет злоумышленникам использовать уязвимость Log4Shell на серверах локально, используя соединение JavaScript WebSocket.
«Этот недавно обнаруженный вектор атаки означает, что любой, у кого есть уязвимая версия Log4j на своем компьютере или в локальной частной сети, может просматривать веб-сайт и потенциально активировать уязвимость», — сказал Мэтью Уорнер, технический директор Blumira.«На данный момент нет доказательств активной эксплуатации. Этот вектор значительно расширяет поверхность атаки и может повлиять на службы, даже работающие как локальный хост, которые не были открыты для какой-либо сети».
WebSockets обеспечивают двустороннюю связь между веб-браузером (или другим клиентским приложением) и сервером, в отличие от HTTP, который является однонаправленным, когда клиент отправляет запрос, а сервер отправляет ответ.
Хотя эту проблему можно решить, обновив все локальные среды разработки и среды с выходом в Интернет до Log4j 2.16.0, Apache в пятницу выпустила версию 2.17.0, которая устраняет уязвимость отказа в обслуживании (DoS), отслеживаемую как CVE-2021-45105 (оценка CVSS: 7,5), что делает ее третьей уязвимостью Log 4j2, обнаруженной после CVE-2021-45046 и CVE-2021-44228.
Полный список недостатков, обнаруженных на сегодняшний день в структуре ведения журнала после того, как была обнаружена исходная ошибка удаленного выполнения кода Log4Shell, выглядит следующим образом —
CVE-2021-44228 (оценка CVSS: 10,0) — Уязвимость удаленного выполнения кода, затрагивающая версии Log4j от 2.0-beta9 до 2.14.1 (Исправлено в версии 2.15.0)
CVE-2021-45046 (оценка CVSS: 9,0) — утечка информации и уязвимость удаленного выполнения кода, затрагивающая версии Log4j с 2.0-beta9 до 2.15.0, за исключением 2.12.2 (исправлено в версии 2.16.0)
CVE-2021-45105 (оценка CVSS: 7,5) — уязвимость отказа в обслуживании, затрагивающая версии Log4j от 2.0-beta9 до 2.16.0 (исправлено в версии 2.17.0)
CVE-2021-4104 (оценка CVSS: 8,1) — ненадежная уязвимость десериализации, затрагивающая Log4j версии 1.2 (исправление отсутствует; обновление до версии 2.17.0)
«Нас не должно удивлять, что в Log4j были обнаружены дополнительные уязвимости, учитывая дополнительное внимание к библиотеке, — сказал Джейк Уильямс, технический директор и соучредитель фирмы BreachQuest, занимающейся реагированием на инциденты. «Как и в случае с Log4j, этим летом раскрытие первоначальной уязвимости PrintNightmare привело к обнаружению нескольких дополнительных отдельных уязвимостей. Обнаружение дополнительных уязвимостей в Log4j не должно вызывать беспокойства по поводу безопасности самого log4j.Во всяком случае, Log4j более безопасен из-за дополнительного внимания со стороны исследователей».
Последнее событие произошло после того, как несколько злоумышленников использовали недостатки Log4j для проведения различных атак, включая заражение программами-вымогателями с участием российской группы Conti и нового штамма программ-вымогателей под названием Khonsari. Более того, ошибка удаленного выполнения кода Log4j также открыла двери для третьего семейства программ-вымогателей, известного как TellYouThePass, которое используется в атаках на устройства Windows и Linux, по словам исследователей из Sangfor и Curated Intel.
Приманки Bitdefender сигнализируют о активных атаках Log4Shell 0-Day
Легко эксплуатируемая, вездесущая уязвимость, помимо порождения целых 60 вариантов, предоставила прекрасную возможность для злоумышленников, при этом румынская фирма по кибербезопасности Bitdefender отмечает, что более 50% атак используют службу анонимности Tor для маскировки своих атак. истинное происхождение.
«Другими словами, субъекты угроз, использующие Log4j, направляют свои атаки через машины, которые находятся ближе к их предполагаемым целям, и только потому, что мы не видим стран, обычно связанных с угрозами кибербезопасности, в верхней части списка, не означает, что атаки не происходят оттуда», — сказал Мартин Зугек, директор по техническим решениям Bitdefender.
Согласно данным телеметрии, собранным в период с 11 по 15 декабря, только на Германию и США приходилось 60% всех попыток эксплуатации. Наиболее распространенными целями атак в течение периода наблюдения были США, Канада, Великобритания, Румыния, Германия, Австралия, Франция, Нидерланды, Бразилия и Италия.
Google: более 35 000 пакетов Java затронуты уязвимостью Log4j
Разработка также совпадает с анализом, проведенным группой Google Open Source Insights Team, которая обнаружила, что примерно 35 863 пакета Java, что составляет более 8% репозитория Maven Central, используют уязвимые версии библиотеки Apache Log4j. Из затронутых артефактов только около 7000 пакетов напрямую зависят от Log4j.
«Недостаток понимания пользователем своих зависимостей и транзитивных зависимостей затрудняет исправление; это также затрудняет определение полного радиуса действия этой уязвимости», — заявили Джеймс Веттер и Ники Рингланд из Google. Но с положительной стороны, 2620 затронутых пакетов уже были исправлены менее чем через неделю после раскрытия информации.
«Вероятно, пройдет некоторое время, прежде чем мы поймем все последствия уязвимости log4j, но только потому, что она встроена во многие программы», — сказал Уильямс.«Это не имеет никакого отношения к вредоносным программам злоумышленников. Это связано с трудностями в поиске множества мест, где встроена библиотека. Сама уязвимость предоставит первоначальный доступ для злоумышленников, которые позже будут выполнять эскалацию привилегий и горизонтальное перемещение — вот где реальный риск».
ВекторХакФестиваль
10.
08.2020 Vector Hack 2020 Архив
Все наши программы доступны на YouTube.
Проверьте их!
29.09.2020 Потоковое
Наша программа вечерних стримов не идентична программе на площадках.Пожалуйста, ознакомьтесь со всеми подробностями в этом руководстве!
22.09.2020 Ассортимент!
Мы с гордостью объявляем состав участников Vector Hack 2020.
Пожалуйста, проверьте профили участников на сайте Vector Hack, мы также объявим еще несколько сюрпризов на следующей неделе.
25.08.2020 Открытый конкурс
Мы очень рады объявить об открытом конкурсе Vector Hack 2020 для AV Works.У вас есть возможность отправить видеозапись вашей работы, отрендеренной на вашем собственном #CathodeRayTube, #осциллографе, #Vectrex, #vectormonitor, для просмотра или отправить либо многоканальный аудиофайл, либо файл #ILDA с сопровождающим звуком для отображения на #Kvant. Clubmax 3000 40kpps RGB #лазер.
21.08.20 Мы вернулись
Мы очень рады объявить о нашем возвращении на Vector Hack 2020. Этот выпуск фестиваля будет проходить со 2 по 4 октября в рамках культурной столицы Европы 2020 года в Риеке.
Из-за беспрецедентных обстоятельств, вызванных глобальной пандемией, мы усердно работали за кулисами, чтобы адаптировать нашу программу, дополняя физические мероприятия разнообразной онлайн-программой выступлений и выступлений.
Физические представления и семинары будут проходить в красивом промышленном зале Exportdrvo и Delta Lab в Риеке. В этом выпуске Vector Hack будут представлены живые выступления и мастер-классы региональных артистов: Филиппа Хаффнера, Бернхарда Расингера и Альберто Новелло, Хрвое Раднича, Бранимира Штивича и Ивана Марушича Клифа.
Онлайн-доклады и презентации будут основываться на темах, затронутых в первом выпуске Vector Hack, и расширять их, включая историю медиа-искусства, современный осциллограф и практику лазерного искусства от ряда докладчиков с международной сцены, включая выступление хорватско-австралийской векторной графики. пионер Томислав Микулич, член новаторской группы Nove Tendencije.
В дополнение к этому, мы объявляем открытый конкурс для артистов со всего мира, которые не могут физически присоединиться к нам, чтобы представить работы AV для показа в Риеке во время фестиваля – подробности вскоре появятся!
Какие домашние службы можно взломать?
Кажется, что каждый день появляется новое интеллектуальное устройство, которое можно встроить в дом.Наши термостаты могут быть изменены дистанционно, наши холодильники могут сказать нам, какие продукты нам нужны, и мы можем приказать неодушевленному предмету включить для нас свет.
Это удобный образ жизни, но он сопряжен с риском. Большинство устройств можно взломать через Интернет или приложение, которое ими управляет. Один эксперт по кибербезопасности заявил: «Если это цифровое устройство, его можно взломать».
Вопрос не в том, «Что можно взломать?» но «Как я могу предотвратить неизбежную попытку взлома?» Есть определенные меры, которые вы можете предпринять, чтобы избежать этого — читайте дальше, чтобы узнать, как вы можете предотвратить взлом домашней службы.
Выход за рамки пароля
Возможно, вас удивит, насколько пароль может вас защитить. Ниже приведены некоторые из основных советов относительно паролей и их важности.
Рассмотрите возможность смены паролей для устройств, систем и сетей каждые шесть месяцев или около того.
Используйте пароль из различных символов , чтобы его было непросто угадать. Чтобы быть хорошим паролем, не нужен сложный жаргон.Вы можете создать тот, который значим для вас и ни для кого другого .
Не используйте один и тот же пароль для нескольких устройств . Запоминание такого количества паролей может показаться рутиной, но это жизненно важный шаг в обеспечении безопасности ваших домашних услуг.
Использовать многофакторную аутентификацию . Хотя для входа в учетные записи требуется еще один шаг, два уровня учетных данных помогают сдерживать хакеров.
Устанавливайте обновления на все устройства по мере их появления.Обычной практикой являются игнорирование обновлений, но иногда они включают в себя серьезные исправления безопасности.
Измените пароль по умолчанию на каждом устройстве. Это кажется очевидным, но одна исследовательская компания обнаружила, что 15% устройств по-прежнему используют пароль по умолчанию, который можно найти с помощью простого поиска в Google. Без создания уникального пароля хакерам будет очень легко злоупотреблять вашими домашними службами.
Будьте осторожны с WiFi
Возможно, вы уже слышали о том, что нужно избегать общедоступных сетей Wi-Fi, но знаете ли вы, что существуют способы усилить и вашу домашнюю сеть?
Опять же, не используйте общедоступный WiFi .Хотя это удобно, хакеры могут легко проникнуть в устройства, используя соединение в кафе и ресторанах. Вместо этого рассмотрите возможность использования собственной защищенной беспроводной точки доступа .
Даже в вашей частной сети используют отдельные интернет-соединения между телефонами и компьютерами . Вы можете разделить существующее соединение между устройствами, используя виртуальную локальную сеть (VLAN). Эта предосторожность удобна, потому что, если одно устройство будет скомпрометировано, другие не будут.
Следите за скоростью вашего домашнего Wi-Fi . Если он вдруг кажется медленнее, чем обычно, это может свидетельствовать о хакере.
Поиск поставщика систем безопасности
К счастью, вы можете получить лучшее из обоих миров: умный и безопасный дом. Системы безопасности могут эффективно интегрироваться с домашней автоматизацией, но подумайте о том, чтобы найти поставщика, который осознает риски домашней автоматизации.
Если вы примете меры предосторожности, подобные описанным выше, риски станут менее распространенными.Скорее, вы можете наслаждаться удобством, которое обеспечивает домашняя автоматизация, и глубоко вздохнуть, зная, что все под вашим контролем.
Вектор взлом: Скачать взлом Vector Full 1.2.1 [мод: много денег] на Android
%d0%b2%d0%b7%d0%bb%d0%be%d0%bc PNG, векторы, PSD и пнг для бесплатной загрузки
естественный цвет bb крем цвета
1200*1200
green environmental protection pattern garbage can be recycled green clean
2000*2000
blue series frame color can be changed text box streamer
1024*1369
3d модель надувной подушки bb cream
2500*2500
be careful to slip fall warning sign carefully
2500*2775
в первоначальном письме векторный дизайн логотипа шаблон
1200*1200
Золотая буква b логотип bc письмо дизайн вектор с золотыми цветами
8334*8334
bb крем ню макияж косметика косметика
1200*1500
элегантный серебряный золотой bb позже логотип значок символа
1200*1200
цвет перо на воздушной подушке bb крем трехмерный элемент
1200*1200
prohibited use mobile phone illustration can not be used
2048*2048
bb крем тень вектор
1300*1300
break split orange be
2000*2000
логотип готов использовать год до н э
6667*6667
bb логотип письмо дизайн вектор простые и минималистские ключевые слова lan
1202*1202
be careful warning signs warning signs be
2000*2000
аэрозольный баллончик увлажняющий лосьон bb cream парфюм для рук
3072*4107
ms косметика bb крем для ухода за кожей
2200*2800
Красивая розовая и безупречная воздушная подушка bb крем косметика постер розовый красивый розовый Нет времени На воздушной
3240*4320
дизайн логотипа bc значок буквы b
8333*8333
логотип bc
1200*1200
bb логотип градиент с абстрактной формой
1200*1200
bb логотип
2223*2223
red bb cream cartoon cosmetics
2500*2500
буква bc 3d логотип круг
1200*1200
Косметический bb Крем Дизайн Плаката косметический Косметика постер Реклама косметики Плакат
3240*4320
bb крем элемент
1200*1200
латинский алфавит буква bb из расплавленной лавы скачать бесплатно png
3000*3000
в первоначальном письме вв логотипа
1200*1200
сложный современный дизайн логотипа с биткойн символами и буквами bc
8331*8331
bb кремовый плакат белый макияж косметический На воздушной подушке
3240*4320
bb градиентный логотип с абстрактной формой
1200*1200
bb логотип дизайн шаблона
2223*2223
витамин b b1 b2 b3 b4 b6 b7 b9 b12 значок логотипа холекальциферол золотой комплекс с химической формулой шаблон дизайна
1200*1200
skin care products womens products bb cream skincare
3000*3000
аэрозольный баллончик увлажняющий лосьон bb cream парфюм для рук
2000*2000
простая инициализация bb b геометрическая линия сети и логотип цифровых данных
2276*2276
аэрозольный баллончик увлажняющий лосьон bb cream парфюм для рук
2000*2000
год до н э письмо логотип
1200*1200
bb крем cc крем пудра Порошок торт фонд
2000*2000
витамин b b1 b2 b3 b4 b6 b7 b9 b12 значок логотипа холекальциферол золотой комплекс с химической формулой шаблон дизайна
1200*1200
bb female cosmetic whitening
2480*3508
bb письмо дизайн логотипа
1200*1200
bb крем на воздушной подушке
1527*1173
h5 материал bb крем эффект
3000*3000
Круглая открытая косметическая воздушная подушка bb cream
1200*1200
Современный и уникальный логотип о письме bc bluechip или процессор eps10 вектор
3000*3000
be careful warning signs warning signs be
2000*2000
bb письмо логотип дизайн шаблона вектор простой и минималистский
1202*1202
bb крем для кожи
3000*3000
Пришло время рассказать всю правду о взломе компании RSA / Хабр
У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году.
Эти события навсегда изменили ландшафт мировой индустрии информационной безопасности. А именно, это было первая в истории атака на «цепочку поставок» (supply chain attack), которая вызвала серьёзную обеспокоенность у американских спецслужб, мягко говоря.
Что такое атака на цепочку поставок? Если вы не можете напрямую атаковать сильного противника типа АНБ или ЦРУ, то вы находите их партнёра — и внедряетесь в его продукт. Один такой взлом даёт доступ сразу в сотни серьёзно защищённых организаций. Так произошло недавно с SolarWinds. Но бывшие сотрудники компании RSA смотрят на SolarWinds и испытывают чувство дежавю. Ведь в 2011 году неизвестные хакеры получили доступ к самому ценному, что было в компании RSA — хранилищу сидов (векторов генерации). Они используются для генерации кодов двухфакторной аутентификации в аппаратных токенах SecurID, а это десятки миллионов пользователей в правительственных и военных агентствах, оборонных подрядчиках, банках и бесчисленных корпорациях по всему миру.
Впрочем, обо всё по порядку.
Энди Гринберг из журнала Wired поговорил с несколькими бывшими сотрудниками RSA. Один из них — Тодд Литхэм (Todd Leetham), «лысый и бородатый аналитик из отдела реагирования на инциденты, которого называли углеродной машиной для поиска хакеров». Именно он первым заподозрил неладное, обратив внимание, что один из пользователей вышел в сеть не со своего компьютера и с нестандартными правами. Он посмотрел логи этого юзера за несколько дней — и стало понятно, что тут взлом. Хакеры окопались во внутренней сети.
Хуже всего, что они добрались до хранилища сидов. Технически, этот сервер должен быть в офлайне, отключён от интернета и от остальной сети — защита air gap. Но на практике он был защищён файрволом и подключался каждые 15 минут, чтобы выдать новую порцию зашифрованных сидов, которые записывались на компакт-диски и отдавались клиентам. Затем они оставались в хранилище в виде резервной копии.
Исходя из этих векторов генерации происходила генерация кодов двухфакторной аутентификации на токенах SecurID, которые раздавались сотрудникам клиента.
Если кто-то добрался до хранилища сидов, то это компрометировало токены SecurID у всех клиентов. Поскольку это основной бизнес RSA, то в худшем раскладе компанию вообще можно закрывать…
Изучив сетевые логи, Литхэм пришёл к выводу, что эти «ключи к королевству» RSA действительно украдены.
Он с ужасом читал в логах, как хакеры девять часов методично выкачивали сиды из хранилища и отправляли их по FTP на взломанный сервер у облачного провайдера Rackspace. Но затем он заметил кое-что, что дало лучик надежды: в логах проскочили украденные креденшиалы, имя пользователя и пароль для этого взломанного сервера. Литхэм быстро подключился к удалённой машине Rackspace и ввёл украденные учётные данные. И вот оно: в директории на сервере всё ещё лежала вся украденная коллекция сидов в виде сжатого файла .rar.
Использовать взломанную учётку для входа на сервер, принадлежащий другой компании, и возиться с данными там, по признанию Литхэма, в лучшем случае является неортодоксальным шагом, а в худшем — серьёзное нарушение законов США о несанкционированном доступе к информации.
Но, глядя на украденную святая святых RSA на этом сервере Rackspace, он не колебался: «Я был готов к последствиям, — говорит он. — В любом случае я не мог отдать наши файлы», — и он ввёл команду на удаление файла и нажал Enter.
Через несколько мгновений в консоль пришёл ответ: «Файл не найден». Он снова изучил содержимое сервера. Папка была пуста. Хакеры забрали базу с сервера за несколько секунд до того, как он попытался её удалить!
Он охотился за хакерами несколько суток днём и ночью, и вот теперь почти схватил за рукав убегавшего вора. Но тот буквально ускользнул сквозь пальцы, скрывшись в тумане с самой ценной информацией (как показало дальнейшее расследование, это могли быть хакеры из подразделения киберразведки APT1 Народно-освободительной армии Китая на базе войсковой части 61398 в пригороде Шанхая. Или кто-то искусно выдавал себя за них).
Расположение войсковой части 61398, источник
Через несколько дней RSA была вынуждена объявить о взломе. И это поистине изменило ландшафт кибербезопасности.
«Это открыло мне глаза на атаки типа supply chain, — говорит Микко Хиппонен, главный научный сотрудник F-Secure, которая опубликовала независимый анализ инцидента RSA. — И изменило мой взгляд на мир: если вы не можете проникнуть в цель, то находите технологию, которую использует жертва, и вместо этого проникаете туда».
Его коллега Тимо Хирвонен говорит, что инцидент стал тревожной демонстрацией растущей угрозы от нового класса хакеров. От высококлассных специалистов, которые выполняют заказы внешней разведки. Компания RSA работает в сфере информационной безопасности и её бизнес — защищать других.
Если она не в силах защитить даже себя, то как она может защитить остальной мир?
Вопрос был вполне буквальным. Кража векторов генерации означала, что у тысяч клиентов RSA скомпрометирована критическая защита 2FA. После кражи векторов генерации злоумышленники могли вводить коды с токенов SecureID практически в любой системе.
Спустя десять лет закончился срок NDA у многих ключевых руководителей компании RSA — и мы можем узнать подробности этого инцидента. Сегодня взлом RSA видится как предвестник нашей теперешней эры цифровой незащищённости и невероятной активности государственных хакеров во многих сферах общественной жизни, включая социальные сети, СМИ и политику. Взлом RSA — это урок, как решительный противник может подорвать то, чему мы больше всего доверяем. А потому что не надо ничему доверять.
Анализ инцидента показал, с чего началась атака — с невинного письма по электронной почте, которое получил один сотрудник австралийского подразделения, с темой «План набора персонала на 2011 год» и приложенной электронной таблицей Excel.
Точка входа в сеть RSA — совершенно банальное внедрение, которое бы не сработало, если бы жертва работала под управлением более новой версии Windows или Microsoft Office или был ограничен доступ к установке программ на свой компьютер, как рекомендуют сисадмины во многих корпоративных и правительственных сетях.
Но после этого проникновения злоумышленники начали демонстрировать свои реальные способности. На самом деле аналитики пришли к выводу, что в сети одновременно орудовали по крайней мере две группы. Одна группа получила доступ в сеть, а вторая группа высококвалифицированных специалистов использовала этот доступ, возможно, без ведома первой группы. Вторая атака была гораздо более продвинутой.
На компьютере австралийского сотрудника кто-то использовал инструмент, который извлекает учётные данные из памяти. Затем он использует эти учётки для входа в другие машины.
Потом сканируется память этих новых компьютеров в поисках новых учёток — и так далее, пока не найдены логины привилегированных администраторов. В конце концов хакеры добрались до сервера, содержащего учётные данные сотен пользователей. Сегодня эта техника кражи учётных данных является распространённой. Но в 2011 году аналитики были удивлены, увидев, как хакеры продвигаются по всей сети: «Это был действительно самый жестокий способ эксплойтить наши системы, который я когда-либо видел», — говорит Билл Дуэйн (Bill Duane), опытный инженер-программист и разработчик алгоритмов RSA.
Обычно такие инциденты обнаруживают спустя месяцы после ухода хакеров. Но взлом 2011 года был особенным: в течение нескольких дней следователи, по сути, «догнали» хакеров и наблюдали за их действиями. «Они пытались проникнуть в систему, мы обнаруживали их через минуту или две, и тогда отключали систему полностью или доступ к ней, — говорит Дуэйн. — Мы сражались неистово как звери, в реальном времени».
Именно в разгар этой лихорадочной схватки Литхэм поймал хакеров на краже сидов с центрального хранилища, что предположительно было их приоритетной целью.
Вместо обычных подключений каждые 15 минут, Литхэм видел в логах тысячи непрерывных запросов каждую секунду. Хакеры собирали векторы генерации не на одном, а на трёх скомпрометированных серверах, передавая запросы через ещё одну подключённую машину. Они распределили коллекцию сидов на три части, перенесли их на удалённый сервер Rackspace, а затем объединили в полную базу хранилища RSA. «Я подумал: это офигенно круто, — говорит Литхэм. — Я вроде как восхищался этим. Но в то же время понимал, что мы в полном дерьме».
Когда до Литхэма дошло, что коллекция сидов скопирована, и после того, как он сделал запоздалую попытку удалить файл с сервера, чудовищность события поразила его: он реально подумал, что компании RSA настал конец.
Поздно ночью служба безопасности узнала, что хранилище ограблено. Билл Дуэйн сделал звонок с предупреждением, что они физически отключат столько сетевых соединений, сколько необходимо, чтобы ограничить ущерб и остановить дальнейшую кражу данных. Они надеялись защитить информацию о клиентах, которая сопоставляется с конкретными векторами генерации.
Кроме того, они хотели предотвратить кражу приватного ключа шифрования, необходимого для расшифровки сидов. Дуэйн с менеджером вошли в дата-центр и начали один за другим отсоединять кабели Ethernet, отключая все серверы и даже веб-сайт компании: «Я фактически закрыл бизнес RSA, — говорит он. — Я искалечил компанию, чтобы остановить любую потенциальную дальнейшую публикацию данных».
На следующий день генеральный директор RSA Арт Ковиелло (Art Coviello) сделал публичное заявление о том, что взлом продолжается. Масштабы вторжения всё увеличивались по мере раскрытия новых деталей. О взломе хранилища сидов SecurID поначалу не было известно, но когда вскрылся этот факт, руководству нужно было принять решение. Некоторые советовали скрыть этот факт от клиентов (среди них спецслужбы, разведка, армия США). Но всё-таки решили раскрыть информацию — персонально обзвонить каждого клиента и заменить все 40 с лишним миллионов токенов. Но у RSA и близко не было в наличии такого количества токенов… Только через несколько недель компания сможет возобновить производство, и то в меньшем количестве.
Группа из почти 90 сотрудников RSA заняла конференц-зал и начала многонедельный обзвон всех клиентов. Они работали по сценарию, проводя клиентов через защитные меры, такие как добавление или удлинение PIN-кода как части логина SecurID, чтобы усложнить репликацию хакерами. Во многих случаях клиенты начинали орать, вспоминает Дэвид Кастиньола (David Castignola), бывший директор по продажам RSA в Северной Америке. Каждый сделал по сотне таких звонков, даже топ-менеджерам и руководству пришлось этим заниматься (клиенты встречались слишком важные).
В то же время в компании начала распространяться паранойя. Кастиньола вспоминает, как в первую ночь проходил мимо маленькой комнатушки с сетевым оборудованием — а из неё вдруг начало выходить абсурдное количество людей, гораздо больше, чем он мог себе представить, что туда поместится. «Кто эти люди?» — спросил он у другого руководителя, стоявшего неподалёку. «Это правительство», — неопределённо ответил тот.
На самом деле, к тому времени АНБ и ФБР уже прислали своих людей, чтобы расследованию компании, также как и оборонный подрядчик Northrop Grumman и компания по реагированию на инциденты Mandiant (по случайности, сотрудники Mandiant уже были на месте во время взлома, устанавливая сенсоры для системы безопасности в сети RSA).
Сотрудники RSA начали принимать решительные меры. Обеспокоенные тем, что телефонная система может быть скомпрометирована, компания сменила операторов связи, перейдя с AT&T на Verizon. Руководители не доверяли даже новым телефонам, они проводили личные встречи и передавали бумажные копии документов. ФБР, опасаясь крота в RSA из-за очевидного уровня знаний злоумышленников о системах компании, начало проверять биографические данные всех сотрудников.
Окна некоторых офисов руководителей и конференц-залов были покрыты слоями обёрточной бумаги, чтобы предотвратить прослушку с помощью лазерных микрофонов воображаемыми шпионами в окрестных лесах, прямо как во время нынешней истерии с «гаванским синдромом». Здание проверили на наличие жучков. Несколько руководителей действительно нашли пару жучков, хотя некоторые из них были такими старыми, что у них сели батареи. Но не было понятно, имеют ли эти они какое-то отношение к инциденту.
Тем временем команда безопасности RSA и сторонние специалисты, привлечённые на помощь, начали «разрушать здание до фундамента», как они выражались.
На каждой машине, к которой прикасались хакеры, форматировались диски, и даже на соседних машинах. «Мы физически обошли всё вокруг, и если на компьютере были хакеры, мы всё стирали, — говорит Сэм Карри (Sam Curry), бывший директор по безопасности RSA. — Если вы потеряли данные, очень жаль».
В конце мая 2011 года, примерно через два месяца после объявления об инциденте, RSA всё ещё восстанавливалась и извинялась перед клиентами. Но здесь пошла вторая волна.
Влиятельный техноблогер Роберт Крингли опубликовал слухи о взломе крупного оборонного подрядчика из-за скомпрометированных токенов SecureID. Всем сотрудникам компании пришлось менять токены.
Спустя два дня агентство Reuters раскрыло имя взломанного подрядчика: это был Lockheed Martin, настоящая золотая жила для промышленного шпионажа.
Многофункциональный истребитель-бомбардировщик пятого поколения F-35 Lightning II производства Lockheed Martin
В последующие дни в новостях упоминались оборонные подрядчики Northrop Grumman и L-3 Communications, говорилось о хакерах с векторами генерации для токенов SecurID, хотя конкретных доказательств никто не предоставил, по понятным причинам, ведь речь идёт о военных подрядчиках (см.
топ-100 подрядчиков правительства США).
Однако в июне 2011 года исполнительный директор RSA признал, что украденные сиды действительно использовались в атаке на Lockheed Martin. Спустя десять лет он уже отказывается от своих слов. Теперь бывшие руководители компании говорят, что использование сидов RSA никогда не было доказано.
Хотя в 2013 году представители Lockheed Martin на форуме Kaspersky Security Analyst Summit в Пуэрто-Рико подробно рассказали, как хакеры использовали векторы генерации кодов для токенов SecurID в качестве ступеньки для проникновения в сеть.
Сейчас источник в компании Lockheed Martin подтверждает выводы того расследования. По его словам, компания видела, как хакеры вводили коды SecurID в режиме реального времени, при этом пользователи не теряли свои токены. После замены этих токенов хакеры продолжали безуспешно вводить коды со старых токенов.
АНБ, со своей стороны, никогда особо не сомневалось в роли RSA в последующих взломах. На брифинге в Сенатском комитете по вооружённым силам через год после взлома директор АНБ генерал Кит Александер (Keith Alexander) заявил, что взлом RSA «привёл к тому, что по крайней мере один американский оборонный подрядчик стал жертвой лиц, владеющих поддельными удостоверениями», а Министерство обороны было вынуждено заменить все токены RSA.
Когда стало известно о причастности группировки APT1, Билл Дуэйн распечатал фотографию их штаб-квартиры в Шанхае и приклеил к доске для игры в дартс в своём кабинете.
Дуэйн ушёл из RSA в 2015 году после более чем 20 лет работы в компании. Автор статьи в Wired Энди Гринберг задал ему такой вопрос: «Как ты думаешь, в какой момент история со взломом RSA действительно закончилась: после отключения серверов в дата-центре? Или когда АНБ, ФБР, Mandiant и Northrop закончили расследование и ушли?». Инженер ответил: «Мы считали, что атака никогда не закончилась. Мы знали, что они оставили бэкдоры и смогут проникнуть в сеть когда захотят».
Печальный опыт Дуэйна и компании RSA должен научить всех нас, что «каждая сеть грязна», как он выразился. Теперь он советует компаниям сегментировать системы и изолировать самые ценные данные так, чтобы они были недоступны даже для противника, который уже проник внутрь периметра.
Что касается Тодда Литхэма, то он наблюдал фиаско SolarWinds в течение последних шести месяцев с мрачным чувством дежавю.
Выводы из истории RSA он формулирует в более резких выражениях, чем его коллега. По его мнению, это было редкое свидетельство того, как хрупка сегодня мировая система информационной безопасности: «Это карточный домик перед началом торнадо», — говорит он.
Он утверждает, что SolarWinds продемонстрировал, насколько ненадёжной остаётся эта структура. По мнению Литхэма, мир безопасности слепо доверял чему-то за пределами своей модели угроз. Никто не предполагал, что противник может это скомпрометировать. И вот опять противник вытащил карту, которая стояла в самом основании карточного домика, — а все думали, что это твёрдая почва.
«Ростелеком» и НКЦКИ выявили серию масштабных кибератак на российские органы государственной власти
Дочерняя компания «Ростелекома», национальный провайдер технологий кибербезопасности «Ростелеком-Солар», совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти.
Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.
Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов, — рассказал Николай Мурашов, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников.
Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций.
Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное вредоносное ПО ранее нигде не встречалось.
Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.
Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.
Справка «БВ». Национальный координационный центр по компьютерным инцидентам (НКЦКИ) обеспечивает координацию деятельности субъектов критической информационной инфраструктуры (КИИ) Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. К основным функциям НКЦКИ относятся: координация мероприятий по реагированию на компьютерные инциденты и непосредственное участие в них; участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак; доведение до субъектов критической информационной инфраструктуры информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения; сбор, хранение и анализ информации о компьютерных инцидентах и компьютерных атаках, а также анализ эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
Взлом прошивок USB-устройств | Securelist
В этой статье я хочу продемонстрировать извлечение прошивки из защищенного USB-устройства, работающего на микроконтроллере Cortex M0.
Кто взламывает игровые приставки?
Производство пиратских, нелицензированных изделий — многомиллиардная индустрия и на рынке можно найти аксессуары практически для всех когда-либо вышедших игровых приставок. Здесь и устройства, позволяющие воспроизведение копий лицензионных игр из «бэкапов» с произвольных носителей, и контрафактные геймпады, и различные адаптеры для игровых контроллеров (в том числе дающие преимущество перед другим игроками), и гаджеты для применения читов в офлайн- и онлайн-играх. Разумеется, все эти устройства продаются вопреки желанию производителей игровых приставок.
Игровые консоли, как и двадцать лет назад, представляют собой проприетарные системы, производители которых навязывают свои правила миллионам пользователей: приставка должна исполнять только подписанный код, на ней можно играть только в легально приобретенные (и лицензионные) игры, и только «официальными» аксессуарами. В некоторых странах, взлом собственной приставки является нарушением закона.
В тоже время большое количество используемых производителями консолей способов защиты является вызовом для энтузиастов в области информационной безопасности. Особенно, если они любят видеоигры. В конце концов, чем сложнее задача, тем интересней ее решить.
Защита геймпада DualShock 4
Те читатели, которые следят за моим аккаунтом в Twitter, знают, что я давно увлекаюсь игровыми приставками, их реверсом, а также всем, что связано с консолями, в том числе, неофициальными игровыми устройствами. В первые дни существования PlayStation 4 публично известная уязвимость в ядре FreeBSD, на котором основано ядро этой приставки, позволила мне (и многим другим исследователям) приобщиться к архитектуре и принципам работы консоли Sony. Я провел множество исследований, в том числе, изучил принципы аутентификации игровой периферии и то, как PS4 отличает лицензированные устройства от нелегальных. Ранее я проводил подобные исследования других приставок, и авторизация периферийных устройств у PS4 оказалась хоть и проще чем у Xbox 360, но не менее эффективна.
Схема авторизации USB-аксессуаров PlayStation 4
PS4 посылает 0x100 случайных данных, в ответ на которые DualShock 4 генерирует подпись RSASSA-PSS SHA-256 и присылает её вместе с криптографическими константами N и E (публичный ключ), которые нужны для верификации этой подписи. Эти константы уникальны для каждого выпущенного геймпада. Также геймпад посылает подпись для верификации N и E, алгоритм тот же — RSASSA-PSS SHA-256, но криптографические константы едины для всех приставок и хранятся в ядре приставки.
Таким образом, чтобы авторизовать свое устройство недостаточно взломать ядро приставки — нужно иметь приватный ключ геймпада. И если кто-то всё-таки взломает геймпад и получит его, то у Sony остается возможность заблокировать ключ с обновлением прошивки. Также, если в течении 8 минут приставка не получает авторизационное сообщение от геймпада, то она прекращает «общение» с ним, и чтобы продолжить использование устройства нужно отключить его от консоли и подключить заново.
Симуляция этого процесса очень раздражала владельцев первых нелегальных геймпадов.
Слухи о суперподделке DualShock 4
Схему аутентификации DualShock 4 не могли взломать довольно долго. Но в какой-то момент я услышал, что на рынке появились поддельные геймпады, которые выглядят и работают в точности, как оригинальные. Мне захотелось посмотреть на них своими глазами и, оформив несколько заказов на китайских торговых площадках, я стал ждать.
Время ожидания было решено скрасить поиском подробной информации о подделках. После некоторого количества поисковых запросов, я наткнулся на контроллер Gator Claw.
Неавторизированный геймпад Gator Claw
Интересным в нем было то, что, судя по обсуждению контроллера на Reddit, сначала он работал, как и другие неавторизованные геймпады — по 8 минут, но разработчики смогли это исправить в обновлении прошивки. На сайте магазина была доступна ссылка на файл обновления и руководство по его установке, которые я и скачал.
Инструкция по обновлению геймпада Gator Claw
Основы анализа embedded прошивок
Первым делом я решил взглянуть на секцию ресурсов программы, устанавливающей обновление прошивки и сразу сделал несколько интересных открытий.
Прошивка, найденная в ресурсах программы обновления Gator Claw
Читатели, знакомые с программированием embedded-устройств, наверняка узнают этот формат. Это файловый формат Intel HEX который часто применяется для программирования микроконтроллеров и многие компиляторы, например, GNU Compiler, могут выводить скомпилированную программу в таком формате. Также мы можем видеть, что начало этой прошивки не имеет большой энтропии и последовательности байтов легко различимы, что означает отсутствие шифрования или сжатия. После декодирования Intel HEX стрима и загрузки в редактор (010 Editor умеет открывать файлы прямо в таком формате) мы можем взглянуть на прошивку. Что это за архитектура? ARM Cortex-M настолько распространен что я различаю его с первого взгляда.
Прошивка Gator Claw (слева) и векторная таблица ARM Cortex-M (справа)
Согласно спецификации первое двойное слово — это начальная вершина стека, после него идет таблица прерываний. Первое слово в этой таблице — Reset vector, служащий точкой входа. Также можно сразу обратить внимание на верхнюю часть адресов других обработчиков прерываний, что дает нам представление о базовом адресе прошивки.
Помимо этого, в ресурсах был найден файл конфигурации с описанием различных микроконтроллеров. Скорее всего, разработчики программы для обновления задействовали некий общедоступный код от производителя микроконтроллера и наиболее вероятно, что этот файл конфигурации шел вместе с этим публичным кодом.
Файл конфигурации с описанием различных микроконтроллеров
После поиска идентификаторов из файла конфигурации мы находим сайт производителя этих микроконтроллеров – Nuvoton. Продуктовая линейка, техническая документация и SDK свободно доступны на сайте, и, более того, для их скачивания не нужно принимать какое-либо соглашение.
Сайт производителя микроконтроллеров Nuvoton
Благодаря этому у нас есть прошивка, мы знаем архитектуру и производителя микроконтроллера, у нас есть сведения о базовом адресе, вершине стека и точке входа. Доступной информации более чем достаточно, чтобы загрузить прошивку в IDA Pro и приступить к анализу.
В процессорах ARM поддерживаются два режима исполнения кода с различными инструкциями: ARM (32-битные инструкции) и Thumb (16-битные инструкции, дополненные Thumb-2 32-битными инструкциями). Cortex-M0 поддерживает только режим Thumb, поэтому мы установим переключатель в Processor options – Edit ARM architecture options – Set ARM instructions на NO во время загрузки прошивки.
Мы видим, что прошивка хорошо загрузилась по базовому адресу 0, автоматический анализ распознал практически все функции. И теперь встает вопрос – как правильно анализировать прошивки?
Одна из функций, присутствующих в прошивке
Если изучить эту прошивку, то мы увидим, что она совершает большое количество операций чтения и записи к памяти с базовым адресом 0x40000000.
Это базовый адрес где находится память, отведенная под ввод-вывод (memory mapped input output — MMIO). Через эти адреса предоставляется доступ ко всем периферийным компонентам, которые есть у микроконтроллера. Все что делает прошивка происходит через доступ к MMIO-регистрам.
Схема адресов периферийных устройств
Найдя в документации адрес 0x40000000 мы узнаем, что этот микроконтроллер серии M451. Зная семейство микроконтроллера, можем скачать SDK и образцы кода для этой платформы. Внутри SDK мы находим заголовочный файл с объявлением всех MMIO-адресов, всех битовых полей и структур. Так же мы можем скомпилировать образцы кода и все библиотеки, а затем сравнить их с функциями в нашей IDB, или мы можем просто искать имена MMIO адресов в исходном коде и сравнивать их с нашим ассемблерным кодом. Это превращает процесс обратной разработки прошивки в простой и легкий процесс. Анализ был бы намного сложнее если бы у нас не было информации об архитектуре и модели микроконтроллера, и MMIO-регистрах.
К слову, именно поэтому многие производители делятся SDK только после подписи NDA.
Процесс нахождения библиотечных функций в коде прошивки
Но что по-настоящему заинтересовало меня в этой прошивке — одна неиспользуемая строка с именем крупного производителя электроники (наиболее известного своими логическими анализаторами, но, как оказалось, имеющего и игровое подразделение). Судя по всему, она должны была быть частью USB Device Descriptor, но этот дескриптор не был использован.
В тени гиганта
Мне удалось найти магазин с огромным ассортиментом игровых аксессуаров, продаваемых под единой торговой маркой. Среди продаваемых аксессуаров числились два десятка различных адаптеров для подключения геймпадов одной приставки к другой. К примеру, отдельный продукт для подключения геймпада Xbox 360 к приставке PS4, отдельный продукт для подключения геймпада PS3 к приставке Xbox One, и многие другие, включая «все в одном». Также ассортимент продукции включает адаптеры для подключения клавиатуры и мыши к консолям PS4, Xbox One и Nintendo Switch, различные игровые геймпады и печатные платы для создания своих аркадных контроллеров для приставок.
Все продукты шли с обновлениями, аналогичными тому, которое шло с Gator Claw, но с существенным отличием – все прошивки были зашифрованы.
Пример инструкции и зашифрованной прошивки из ресурсов программы обновления к одному из продуктов
Теперь попробуем найти фотографии печатных плат аркадных контроллеров, что позволит оценить схему устройства, не покупая и не разбирая его. Скорее всего их дизайн идентичен дизайну Gator Claw. На найденных фотографиях мы можем видеть два микроконтроллера: один из них должен быть Nuvoton M451, а другой – вспомогательный, для секретов: производители понимают, что конкуренты могут изучить их прошивку, и чтобы предотвратить это используют второй микроконтроллер. Забегая вперед, скажу, что в нашем случае он тоже присутствовал. Данные для аутентификации передаются в него по протоколу I2C и после получения отправляются обратно на приставку.
Поскольку все дорожки идут к микроконтроллеру под черной эпоксидной смолой, мы можем заключить, что это главный микроконтроллер.
А микроконтроллер с четырьмя желтыми ножками соответствует требованиям для работы по протоколу I2C и является вспомогательным.
Примеры внутреннего дизайна выпускаемой продукции
Внутри контроллера
К этому моменту я наконец получил посылку из Шэньчжэня, и надо сказать, что контрафактный гаджет очень сложно отличить от оригинального DualShock 4: геймпад выполнен из качественных материалов, touchpad работает, динамик и гарнитура тоже.
Контрафактный DualShock 4 (вид снаружи)
С помощью комбинации клавиш из инструкции я проверил, что геймпад переходит в DFU-режим, и приступил к разборке. Отмечу, что при этом на ПК геймпад определился как другое устройство, с иными идентификаторами и характеристиками.
Контрафактный DualShock 4 (вид на главную плату)
Я припаял провода к отладочным площадкам и подключил программатор. Программатор определил устройство, но security lock был установлен.
Программатор определил микроконтроллер и включенный Security Lock
Метод взлома прошивок USB-устройств
Дизайн USB-протокола определяет две сущности — хост и остальные устройства, которые подключаются к нему.
Они, в свою очередь, разделяются на классы: hub, human interface, printer, imaging, mass storage device и другие.
Схема подключения USB устройств
Общение между устройствами и хостом происходит посредством односторонних и двухсторонних каналов. Под каналом мы подразумеваем передачу данных между программой на хосте и конкретным «конечной точкой» на устройстве. Таких точек может быть несколько для передачи различных данных.
Схема типов передачи данных
Существует четыре типа передачи данных:
Все USB-устройства должны иметь особый канал на нулевой конечной точке, зарезервированный для конфигурации устройства.
Эти типы передачи данных осуществляются посредством пакетов, представленных на рисунке ниже:
Пакеты, задействованные в протоколе USB
По факту, USB-протокол — это машина состояния, и в этой статье мы не будем останавливаться на каждом из этих пакетов.
Ниже представлен пример осуществления Control Transfer:
Control Transfer
Устройства могут содержать уязвимости в каждом из четырех типов передачи данных, но эти типы опциональны, к тому же их наличие и применение будет сильно отличаться от устройства к устройству. Но все устройства поддерживают Control Transfers и формат, по большей части, един для всех устройств, что делает данный тип передачи данных наиболее интересным для анализа на наличие уязвимостей.
Диаграмма ниже изображает формат SETUP-пакета, который используется для выполнения Control Transfer.
Формат SETUP-пакета
SETUP-пакет занимает 8 байт и может предоставлять различные данные в зависимости от типа запроса. Некоторые из них едины для всех устройств (например, дескрипторы), другие зависят от класса устройства или желания производителя. Размер передаваемых/получаемых данных задается 16-битным словом и также передается в SETUP-пакете.
Примеры запросов
Подводя итог: Control Transfers используют простой протокол, поддерживаемый всеми USB-устройствами, которые могут иметь множество дополнительных команд, и мы контролируем размер данных.
Все это делает Control Transfers идеальной целью для фаззинга и глитчинга.
Эксплуатация
Для взлома поддельного геймпада мне не пришлось прибегать к фаззингу т.к. я нашел баги еще во время просмотра кода прошивки Gator Claw.
Уязвимый код в обработчике HID реквестов
Функция HID_ClassRequest() написана для симуляции работы оригинального геймпада DualShock 4, и поддерживает минимум необходимых запросов для работы с приставкой PlayStation 4. USBD_GetSetupPacket() получает SETUP-пакет и в зависимости от типа переданного репорта либо получит, либо отправит данные функциями USBD_PrepareCntrlIn() и USBD_PrepareCntrlOut(). Как можно заметить, запрошенный размер данных не проверяется и это должно дать нам возможность читать часть внутренней памяти, где хранится прошивка, а также читать и писать в начало SRAM-памяти.
Переполнение буфера в процессе Control Transfer
Размер DATA-пакета задается в USB Device Descriptor (который также получается с помощью Control Transfer) но, похоже, что остается не учтен тот факт, что этот размер указывает на размер одного пакета, а их может быть сколько угодно в зависимости от размера, заданного в SETUP-пакете.
Примечательно, что образцы кода, размещенные на сайте Nuvoton, также не содержат проверок на размер и могут привести к большему количеству багов в различных проектах из-за копирования этого кода.
Эксплуатация переполнения буфера в SRAM памяти
SRAM (Static random access memory) — это оперативная память, в которой помимо прочего находится стек. Очень часто SRAM также является исполняемой памятью (настраивается), обычно это делается для улучшения производительности – основная прошивка может скопировать в SRAM часто вызываемый код, например, код Real-Time Operating System. Нет гарантий, что вершина стека будет находиться в достижимых пределах переполнения буфера, но вероятность этого велика.
Неожиданно, но главным препятствием на пути к эксплуатации уязвимостей в прошивках USB-устройств являются операционные системы. Нижеперечисленное характерно для Windows, но думаю, что актуально и для Linux-based систем без специальных исправлений.
Во-первых, ОС не позволяет прочесть больше 4 килобайт во время передачи данных Control Transfer.
Во-вторых, по моему опыту ОС не позволяет записать больше одного пакета с данными во время Control Transfer. В-третьих, USB-устройство может использовать «скрытые» запросы, которые ОС откажется посылать.
Это легко продемонстрировать на примере устройств HID (Human Interface Device), к которым относится геймпад. У них есть дополнительные дескрипторы: HID Descriptor, Report Descriptor, Physical Descriptor. Второй из списка отличается от каких-либо других дескрипторов и состоит из программных единиц, описывающих доступные репорты. Если запрос не описан в Report Descriptor, то в таком случае ОС откажется его выполнить даже если он обрабатывается в устройстве. Все это противодействует нахождению и эксплуатации уязвимостей.
Чтобы решить эту проблему без необходимости разбираться и перекомпилировать ядро Linux, я воспользовался low end инструментами которые были у меня под рукой: плата Arduino Mega + USB Host Shield (общая стоимость — менее 30 $).
Схема подключения устройств
После подключения устройств по представленной выше схеме, я воспользовался Arduino для выполнения Control Transfer без каких-либо вмешательств со стороны операционной системы.
Arduino Mega + USB Host Shield
Поддельный геймпад содержал те же уязвимости что и Gator Claw, и первое что я сделал — «сдампил» часть прошивки.
«Сдампленная» часть прошивки
Для нахождения базового адреса дампа нашей прошивки достаточно найти структуру с указателями на известные данные. После этого мы можем посчитать дельту и загрузить полученную часть прошивки в IDA Pro.
Структура с указателями на известные данные
Дамп прошивки позволил нам узнать адрес функции printf(), которая выводит в UART информацию, необходимую для контроля качества. Также анализ дампа позволили найти аналог функции hexdump(), что полностью освобождает нас от необходимости написания шеллкода.
Нахождение функций, облегчающих эксплуатацию
После нахождения контактов UART на плате геймпада, припаивания проводов и подключения их к TTL2USB адаптеру мы видим вывод в терминале.
Стандартный UART вывод при включении геймпада
Стандартная библиотека для микроконтроллеров Nuvoton идет с очень удобным обработчиком Hard Fault исключений, который выводит дамп регистров. Это сильно облегчает эксплуатацию и позволяет отлаживать эксплойт.
Вывод в UART при Hard Fault исключении, вызванным перезаписью стека
Финальный эксплойт для дампа прошивки:
Эксплойт и шеллкод для получения дампа прошивки по UART
Но этот способ дампа нельзя считать полноценным, поскольку серия микроконтроллеров Nuvoton M451 позволяет использовать две различные прошивки: основную (APROM) и мини-прошивку для DFU-обновлений (LDROM).
Схема Flash и системной памяти Nuvoton M451 в различных режимах исполнения
Эти прошивки транслируются на одни и те же адреса памяти, поэтому в зависимости от текущего режима можно прочесть только одну из них. Для того, чтобы получить дамп прошивки LDROM, нам нужно отключить security lock и прочитать Flash-память с помощью программатора.
Шеллкод, снимающий security lock
Криптофейл
Изучение прошивки обновлений (LDROM) показало, что это стандартный код от Nuvoton, но с добавленным шифрованием обновлений прошивок.
Схема криптографического алгоритма шифрования обновлений прошивок
Шифрование представляет собой кастомный блочный алгоритм, выполненный в режиме сцепления блоков шифротекста, длина которых составляет всего 32 бита. В этот алгоритм предоставляются ключ, который является текстовым (ASCII) идентификатором продукта, и массив инструкций, которые определяют, какое преобразование сделать с текущим блоком. После достижения конца ключа и массива, их позиция устанавливается на начальную. Список преобразований включает в себя шесть операций: xor, subtraction, subtraction (reverse), и повтор этих преобразований с переустановкой байт. Так как в прошивках присутствуют большие области, состоящие из нулевых байт, это позволяет с легкостью посчитать секретные составляющие этого алгоритма.
Раскрытие ключа шифрования обновления прошивки
Применение алгоритма, извлеченного из прошивки контрафактного геймпада, ко всем прошивкам аксессуаров, доступных на сайте OEM-производителя, показало, что они все используют этот алгоритм шифрования. Это позволяет высчитать ключи шифрования для всех устройств и расшифровать все представленные прошивки. Таким образом, алгоритм, вложенный в контрафактный продукт поставил под угрозу безопасность всех продуктов производителя.
Заключение
Пост получился очень большим, но я хотел подготовить его для наиболее широкой аудитории. В этой статье я продемонстрировал полный процесс анализа embedded-прошивок, поиска и эксплуатации уязвимости для получения дампа, исполнения произвольного кода на USB-устройстве. Хоть глитчинг-атаки не вошли в статью, они тоже очень эффективны при взломе USB-устройств. Для желающих узнать об этом больше рекомендую ознакомиться с этим видео. А тем, кто задался вопросом, как пираты получили ключи и алогритм из DualShock 4, советую почитать этот материал.
Что касается тайны со вспомогательным микроконтроллером, то оказалось, что, во-первых, он присутствует не во всех устройствах, а во-вторых, добавлен всего лишь для запутывания и не хранит никаких секретов, выполняя лишь операции SHA1 и SHA256. Контроллер Nuvoton M451, может быть объектом для дальнейших исследований т.к. во время этого исследования он продемонстрировал некоторые признаки, которые могут свидетельствовать о наличии архитектурных уязвимостей.
Покупателей контрафактных геймпадов не ждет ничего хорошего: Sony заблокирует нелегально используемые ключи, и пользователи останутся без рабочего контроллера.
Гарантированный взлом. Пять слабых звеньев ИБ.
Гарантированный взлом. Пять слабых звеньев ИБ.
Несмотря на то, что внешнему периметру сети уделяется самое пристальное внимание со стороны как системных администраторов, так и безопасников, в большинстве случаев становится возможным проникнуть во внутреннюю сеть используя различные вектора атаки.мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на
, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как
Vector в контакте — Взлом игры Vector (прокачка, читы на Вектор)
Геймеру, любителю занимательной игры Vector всегда хочется добиться ощутимого преимущества в игре, чтобы любой ценой стать победителем. Довольно часто он готов использовать для достижения поставленной цели нечестные средства и методы.
Одним из таких методов может быть специальное средство для взлома игры Вектор, которые можно скачать у нас бесплатно и все они рабочие. С выходом каждой новой версии игры, задания в ней становятся все более сложными и увлекательными, а пройти их уходит слишком много времени, именно для этого и создан специальный чит на Вектор, который поможет взломать и прокачать игру.
Основная цель человека, который играет в Vector – первым пройти трассу и не стать жертвой охотников. Чтобы успешно пройти все этапы игры Вектор, персонаж должен постоянно двигаться, бегать и прыгать.
Пока персонаж того или иного игрока успешно выполняет поставленные перед ним довольно сложные задания, то он практически в полной безопасности. Ему абсолютно ни по чем любые препятствия, козни и происки его соперников. Одержать победу над соперником – весьма выполнимая цель, но для этого нужно проявить смекалку, скорость движений и сообразительность. Именно эти качества являются особенно ценными для хорошего результата.
Чтобы получить нужные артефакты, В Векторе придется потратить уйму времени и довольно длительное время оставаться на одном уровне игры. Выходом из этой ситуации может стать средство для взлома игры Вектор, которые мы предлагаем вам. Таким действенным средством может быть чит для игры Вектор или специальная программа, с помощью которой можно найти баг или секрет в егре Vector. Также без особых усилий игрок может достичь специальных ресурсов, которые несомненно приведут его к желаемому успеху. При этом геймеру вовсе не нужно вкладывать собственные денежные средства в игру, так как при помощи чито можно в считанные минуты прокачать игру Вектор и достигнуть нужных результатов бесплатно. Скачать читы на игру Вектор можно в низу этой записи, и сразу же приступить к прокачке игры.
Чтобы успешно взломать Vector, следует через специальную программу установить необходимые обновления. Для этого игроку понадобятся ресурсы которые необходимы для победы. С помощью средства для взлома Vector, геймер сможет занять победное место в рейтинге.
Статистика для каждого уровня ведется именно по рейтингу. Игрок сможет занять желаемое первое место, но для этого он должен пройти игру как можно быстрее. Это удастся сделать лишь в том случае, если открыты все трюки современных гаджетов.
Средство для взлома игры Vector подойдет к любому аккаунту. Средство для взлома игры Vector – читу, также обладает специальным антибаном, который геймер активирует при установке средства для взлома (чита для игры Вектор).
Игра Vector – не только увлекательное средство, которое позволит приятно провести несколько мгновений досуга, но и весьма действенный способ для улучшения логического и абстрактного мышления, смекалки, креативных способностей и умственных ресурсов и талантливости игрока, но с взломом, прокачкой при помощи чита для игры Вектор это будет куда инрересней.
Скачать чит-программу для взлома (прокачки) игры Вектор бесплатно можно чуть ниже, нажав на ссылку “Скачать”. Пользоваться ней элементарно.
После скачивания, установите чит на Вектор себе на ПК, запустите его и войдите в игру, выберете необходимые вам функции:
Что такое вектор атаки?
Что такое вектор атаки?
Определение вектора атаки : В кибербезопасности вектор атаки — это метод или путь, используемый хакером для доступа или проникновения в целевую систему.
Хакеры крадут информацию, данные и деньги у людей и организаций, исследуя известные направления атак и пытаясь использовать уязвимости, чтобы получить доступ к нужной системе. Как только хакер получает доступ к ИТ-инфраструктуре организации, он может установить вредоносный код, который позволяет ему удаленно управлять ИТ-инфраструктурой, шпионить за организацией или красть данные или другие ресурсы.
Векторы атаки могут быть использованы самыми разными группами, от недовольного бывшего сотрудника вашей организации, который хочет подорвать ваш бизнес, до разведывательной службы иностранного правительства, которая хочет украсть ваши технологии. Существует также множество различных известных векторов атак, которые эти группы могут эффективно использовать для получения несанкционированного доступа к вашей ИТ-инфраструктуре. ИТ-организации могут противостоять кибератакам с помощью ряда различных методов, включая обнаружение событий в режиме реального времени и возможности реагирования, которые нейтрализуют кибератаки до того, как они могут привести к потере данных.
Разница между вектором атаки и поверхностью атаки
Вектор атаки — это путь, по которому хакер использует уязвимости кибербезопасности. Принимая во внимание, что поверхность атаки — это все общедоступные и частные точки связи данных вашей компании и взаимодействия человека или программного обеспечения.
Почему векторы атак используются в атаках на кибербезопасность?
Хакеры зарабатывают деньги, выполняя вредоносные кибератаки на программные системы, но они не всегда стремятся украсть данные кредитных карт или банковскую информацию.Некоторые хакеры разработали более изощренные способы монетизации своих действий, которые менее очевидны, чем скомпрометированный номер кредитной карты.
Есть хакеры, мотивация которых не связана с деньгами, например, те, кто хочет передать секретную информацию общественности, поставить в неловкое положение того, с кем не согласен, или сделать политическое заявление.
Однако для большинства ИТ-организаций большинство кибератак исходит от хакеров, пытающихся украсть личные и финансовые данные.
Как использовать векторы атаки?
Кибератаки совершают самые разные хакеры.
Типы хакеров, использующих векторы атак
Методология вектора атаки
Во всех этих случаях общая методология использования векторов атак одинакова:
Защита потенциальных векторов атак от использования хакерами требует от ИТ-организаций внедрения политик и процедур, которые не позволяют хакерам получить полезную информацию об уязвимостях ИТ-безопасности.
Каковы распространенные векторы атак в ИТ-инфраструктуре?
ИТ-организациям необходимо знать о наиболее распространенных векторах вредоносных кибератак, чтобы эффективно защищать свои сети от несанкционированного доступа.
Наиболее распространенные векторы атак
Это наиболее распространенные векторы атак, используемые хакерами, и способы защиты от них.
Фишинговые электронные письма — Фишинговые электронные письма являются одним из наиболее распространенных типов кибератак.Их может быть особенно трудно смягчить, потому что, хотя ИТ-персонал может быть сообразителен в проверке содержимого электронной почты, представители бизнеса могут этого не делать. Фишинговые электронные письма пытаются обмануть получателя, чтобы он отказался от конфиденциальной информации, часто предоставляя ему ссылку на вредоносный веб-сайт.
Стратегия смягчения последствий: ИТ-организация должна поощрять сообщения о фишинговых сообщениях электронной почты и блокировать известных отправителей вредоносной почты с помощью централизованного фильтра электронной почты, чтобы предотвратить бомбардировку пользователей фишинговыми сообщениями.
Простые эвристики, такие как «Всегда убедитесь, что вы находитесь на странице входа в компанию, прежде чем вводить свои учетные данные», могут помочь менее искушенным пользователям избежать обмана фишинговыми электронными письмами.
Вредоносное ПО . Вредоносное ПО — это универсальный термин, описывающий любую программу, внедряющую вредоносный код в вашу ИТ-инфраструктуру. Вирусы, черви и трояны — все это примеры вредоносных программ. Вредоносное ПО может распространяться по всей ИТ-инфраструктуре, создавая много сверхурочной работы для групп ИТ-безопасности и потенциально подвергая риску ценные данные и снижая доступность услуг.
Стратегия смягчения последствий: Атаки нулевого дня трудно избежать, но поддержание антивируса и брандмауэра в актуальном состоянии может значительно снизить вероятность успешной вирусной атаки на вашу организацию.
Неисправленные уязвимости — Когда разработчик программного обеспечения обнаруживает серьезную уязвимость в своем приложении, он пишет для нее исправление и выпускает исправление, чтобы пользователи могли его установить.
Если ваша ИТ-организация пренебрегает регулярной установкой исправлений, хакеры могут использовать известную уязвимость в качестве вектора атаки для взлома вашей системы безопасности.
Стратегия смягчения последствий: регулярно проверяйте все свои приложения и серверы на наличие доступных исправлений и выполняйте обновления как можно скорее, чтобы снизить уязвимость.
Мониторинг потенциальных векторов кибератак с помощью Sumo Logic
Sumo Logic использует машинное обучение и анализ больших данных для предоставления лучших в отрасли возможностей ИТ-безопасности, включая обнаружение угроз, реагирование на инциденты и криминалистическое расследование. Sumo Logic получает информацию об угрозах от CrowdStrike через актуальную базу данных IOC (Indicators of Compromise), которая содержит самую свежую информацию об известных угрозах и векторах атак.
Полная видимость для DevSecOps
Сокращение времени простоя и переход от реактивного к упреждающему мониторингу.
Что такое вектор атаки?
Что такое вектор атаки?Вектор атаки — это путь или средство, с помощью которого злоумышленник или хакер может получить доступ к компьютеру или сетевому серверу для доставки полезной нагрузки или вредоносного результата. Векторы атак позволяют хакерам использовать уязвимости системы, включая человеческий фактор.
Распространенные векторы кибератак включают вирусы и вредоносное ПО, вложения электронной почты, веб-страницы, всплывающие окна, мгновенные сообщения (IM), чаты и обман. За исключением обмана, все эти методы включают в себя программирование или, в некоторых случаях, аппаратное обеспечение. Обман — это когда человека-оператора обманом заставляют снять или ослабить защиту системы.
В некоторой степени брандмауэры и антивирусное программное обеспечение могут блокировать векторы атак. Но ни один метод защиты не является полностью защищенным от атак. Метод защиты может быстро устареть, так как хакеры постоянно обновляют векторы атак и ищут новые в своем стремлении получить несанкционированный доступ к компьютерам и серверам.
Наиболее распространенными вредоносными полезными нагрузками являются вирусы, которые могут действовать как собственные векторы атак, троянские кони, черви и шпионское ПО. Сторонние поставщики и поставщики услуг также могут рассматриваться как векторы атаки, поскольку они представляют риск для организации, если у них есть доступ к ее конфиденциальным данным.
Как кибер-злоумышленники используют векторы атак?Хакеры обладают глубокими знаниями об общих векторах атак безопасности, которые им доступны.При определении того, как взломать один из этих векторов безопасности, они сначала ищут уязвимости или дыры в безопасности в этих векторах, через которые, по их мнению, они могут проникнуть.
Дыра в системе безопасности может быть обнаружена в программном обеспечении или операционной системе компьютера (ОС).
Иногда уязвимость системы безопасности может открыться из-за ошибки программирования в приложении или неправильной конфигурации безопасности. Взломы могут быть даже низкотехнологичными, такими как получение учетных данных сотрудника или взлом здания.
Хакеры постоянно сканируют компании и отдельных лиц, чтобы выявить все потенциальные точки входа в системы, приложения и сети. В некоторых случаях они могут даже нацеливаться на физические объекты или находить уязвимых пользователей и внутренних сотрудников, которые намеренно или непреднамеренно делятся своими учетными данными для доступа к информационным технологиям (ИТ).
В чем разница между вектором атаки и поверхностью атаки?Эти два термина часто используются взаимозаменяемо, но это не одно и то же.Вектор атаки отличается от поверхности атаки, поскольку вектор — это средство, с помощью которого злоумышленник получает доступ, а поверхность атаки — это то, что подвергается атаке.
Одним из самых известных взломов была атака на цепочку поставок SolarWinds. Было предпринято расследование для определения векторов атак, но утечка могла быть результатом скомпрометированных учетных данных или возможного доступа через среду разработки программного обеспечения для управления ИТ Orion от SolarWinds.
10 наиболее распространенных векторов атакЗлоумышленники постоянно ищут новые направления атаки. К наиболее распространенным векторам атак относятся следующие:
- Уязвимости программного обеспечения. Если в сети, ОС, компьютерной системе или приложении есть незакрытые уязвимости безопасности, злоумышленник может использовать вектор угрозы, например вредоносное ПО, для получения несанкционированного доступа.
- Скомпрометированные учетные данные пользователя. Пользователи могут намеренно или непреднамеренно делиться своими идентификаторами пользователей и паролями.
Это можно сделать в устной форме, но кибер-злоумышленники также могут получить доступ к учетным данным с помощью грубой силы, которая пытается использовать различные комбинации идентификаторов пользователей и паролей, пока не будет раскрыт авторизованный набор учетных данных. Затем хакер использует эти учетные данные для взлома сети, системы или приложения. - Ненадежные пароли и учетные данные. При атаках методом грубой силы кибер-злоумышленники сосредотачивают свои усилия на взломе идентификаторов пользователей и паролей, которые являются слабыми или легко угадываемыми.Но хакеры также крадут учетные данные, используя программы, которые отслеживают общедоступные сети Wi-Fi, когда пользователи вводят свои учетные данные для доступа. Например, хакер может установить программное обеспечение для кейлоггеров на рабочую станцию пользователя через зараженный веб-сайт или электронную почту. Программа кейлогинга регистрирует действия пользователя с клавиатурой, включая ввод идентификатора пользователя и пароля.
Хакеры также могут получить доступ, побуждая пользователей открывать нежелательные вложения электронной почты, которые содержат вредоносные ссылки на поддельные веб-сайты, которые убеждают их предоставить личную информацию (PII). - Злоумышленники. Злоумышленники или недовольные сотрудники могут взломать сети и системы, используя свои допуски к безопасности для извлечения конфиденциальной информации, такой как списки клиентов и интеллектуальная собственность (IP), за которую они либо требуют выкуп, либо продают другим в гнусных целях.
- Плохое или отсутствующее шифрование. В некоторых случаях сотрудники или ИТ-специалисты могут забыть зашифровать конфиденциальную информацию, хранящуюся на ноутбуках и смартфонах в полевых условиях.В других случаях методы шифрования имеют известные недостатки конструкции или используют только ограниченные ключи для шифрования и защиты данных.
- Программа-вымогатель .
Программа-вымогатель — это тип вредоносного ПО, которое блокирует данные на компьютере жертвы, и злоумышленник либо угрожает опубликовать данные жертвы, либо блокирует доступ к ним, если не будет выплачен выкуп. Программа-вымогатель может заблокировать файлы пользователя, часто требуя от пользователя денежную сумму, чтобы разблокировать файлы. Большинство программ-вымогателей непреднамеренно загружаются на компьютер или в сеть пользователем.Он может быть в виде открываемого пользователем файла, содержащего червя, представляющего собой вредоносное ПО, которое распространяется по сети, или троянца, внедряющего вредоносный программный код в загруженный файл, который блокирует компьютер или данные пользователя и потом требует оплаты. - Фишинг. Фишинг — это мошенническая практика отправки электронных писем, в которых злоумышленник выдает себя за представителя уважаемой компании, с целью заставить людей раскрыть личную информацию, такую как пароли или номера кредитных карт.
Целевой фишинг — это целенаправленная атака, нацеленная на одного получателя с целью получения несанкционированного доступа к конфиденциальной информации компании. - Неверно настроенные устройства. Компании могут неправильно настроить безопасность своего программного и аппаратного обеспечения, что делает их уязвимыми для хакеров. Предварительные настройки безопасности поставщика для оборудования являются слабыми, и если ИТ-отдел не реконфигурирует это оборудование перед его установкой в сети, могут произойти взломы системы безопасности. В других случаях компании закупают оборудование и забывают полностью настроить безопасность.
- Доверительные отношения. Во многих случаях компании доверяют свою безопасность сторонним поставщикам систем и сетей, облачным провайдерам и деловым партнерам. Когда системы этих третьих сторон взламываются, информация, которую получают хакеры, может также содержать конфиденциальную информацию от компаний, которые обслуживают эти провайдеры.
Примеры включают взлом сети крупного оператора кредитных карт или взлом системы здравоохранения и кражу конфиденциальных данных пациентов. - D распределенные атаки типа «отказ в обслуживании» (DDoS) . DDoS-атаки забрасывают жертв фальшивыми электронными письмами, делая их системы или сети непригодными для использования, а службы недоступными для предполагаемых получателей. Эти атаки часто нацелены на веб-серверы финансовых, коммерческих и государственных организаций и часто используются, чтобы отвлечь организацию от других сетевых атак.
Как защитить устройства от распространенных векторных атакЗлоумышленники используют различные методы для проникновения в корпоративные ИТ-активы.Поскольку эти методы продолжают развиваться, задача ИТ-отдела состоит в том, чтобы определить и внедрить политики, инструменты и методы, наиболее эффективные для защиты от этих атак. Ниже приведен список эффективных методов защиты:
Для получения дополнительной информации о кибератаке через бэкдор SolarWinds перейдите в центр новостей о взломе SolarWinds .
Что такое вектор кибератаки? Типы и как их избежать
Распространенные типы векторов атак
Существует много типов атак, при этом киберпреступники используют множество методов для нападения на крупные и малые организации из любой отрасли, а также на отдельных лиц почти любого уровня бизнеса.
Ниже перечислены некоторые из наиболее распространенных векторов угроз.
Скомпрометированные учетные данные
Слабые и скомпрометированные учетные данные являются наиболее часто используемым вектором атаки, поскольку люди продолжают использовать слабые пароли для защиты своих учетных записей и профилей в Интернете. Скомпрометированные учетные данные возникают, когда такая информация, как имена пользователей или пароли, становится доступной для третьих лиц, таких как мобильные приложения и веб-сайты. Это часто происходит из-за того, что жертвы фишинга раскрывают злоумышленнику свои данные для входа, вводя их на поддельном веб-сайте.Утерянные и украденные учетные данные позволяют злоумышленнику без обнаружения получать доступ к учетным записям пользователей и корпоративным системам, а затем повышать свой уровень доступа в сети.
Сотрудники должны использовать надежные пароли и рассмотреть возможность использования диспетчера паролей, чтобы ограничить вероятность кражи учетных данных злоумышленником.
Чтобы избежать риска компрометации учетных данных, организации должны отказаться от использования только паролей и внедрить многофакторную аутентификацию (MFA) для проверки личности пользователей. Обучение сотрудников также имеет жизненно важное значение для того, чтобы пользователи понимали риски безопасности, с которыми они сталкиваются, и признаки потенциальной кибератаки.
Вредоносное ПО
Вредоносное ПО — это термин, описывающий различные виды вредоносного программного обеспечения, в том числе программы-вымогатели, шпионское ПО, трояны и вирусы. Киберпреступники используют вредоносное ПО в качестве вектора угрозы, чтобы получить доступ к корпоративным сетям и устройствам, а затем похитить данные или повредить системы.
Предотвращение вредоносного ПО зависит от понимания признаков атаки, таких как схемы фишинга, побуждающие пользователей делиться ценной информацией.Для защиты от вредоносных программ требуются такие технологии, как песочница, брандмауэры, а также антивирусное и антивредоносное программное обеспечение, которое обнаруживает и блокирует потенциальные атаки.
Фишинг
Фишинг — это электронная почта, служба коротких сообщений (SMS) или телефонный вектор атаки, который видит, что злоумышленник выдает себя за доверенного отправителя, чтобы обмануть цель и выдать конфиденциальные данные, такие как учетные данные для входа или банковские реквизиты.
Организации могут защитить своих сотрудников и клиентов от фишинговых атак, используя спам-фильтры, развертывая MFA, обеспечивая установку исправлений и обновлений программного обеспечения и блокируя вредоносные веб-сайты. Однако лучший способ защититься от фишинга — предположить, что каждое электронное письмо является частью фишинговой атаки. Это также сводится к обучению сотрудников и зависит от их осведомленности об общих рисках безопасности, таких как никогда не нажимать на какие-либо ссылки в электронном письме.
Внутренние угрозы
Некоторые атаки на систему безопасности исходят изнутри организации, когда сотрудники раскрывают злоумышленникам конфиденциальную информацию.
Хотя это может быть случайным, злоумышленники раскрывают корпоративные данные или уязвимости третьим лицам. Часто это недовольные или недовольные сотрудники, имеющие доступ к конфиденциальной информации и сетям.
Организациям может быть сложно обнаружить злонамеренных инсайдеров, в основном потому, что они являются авторизованными пользователями с законным доступом к корпоративным сетям и системам. Таким образом, компаниям следует отслеживать доступ к сети на предмет необычной активности или доступа пользователей к файлам или системам, которые обычно недоступны, что может быть индикатором внутреннего риска.
Отсутствует или слабое шифрование
Шифрование – это метод, который скрывает истинное значение сообщения и защищает цифровые данные, преобразовывая их в код или зашифрованный текст. Это гарантирует, что данные в сообщении не могут быть прочитаны неавторизованной стороной, что помогает предотвратить кражу конфиденциальной информации киберпреступниками.
Отсутствие, плохое или слабое шифрование приводит к передаче конфиденциальных данных в виде открытого текста.Это может привести к его раскрытию для неавторизованных сторон в случае перехвата или получения с помощью грубой атаки. Чтобы избежать этого, пользователи должны использовать надежные методы шифрования, в том числе Advanced Encryption Standard (AES) или шифрование Rivest-Shamir-Adleman (RSA), и всегда обеспечивать шифрование конфиденциальной информации во время хранения, обработки и передачи.
Неисправленные приложения или серверы
Киберпреступники всегда ищут потенциальные открытые двери или уязвимости в программном обеспечении и серверах.Когда они находят и используют уязвимость, о которой никто не знает, пока не произойдет нарушение, это называется атакой нулевого дня.
Организации и пользователи могут избежать атак этого типа, установив исправления для своего программного обеспечения, операционных систем и серверов.
Это означает применение обновления программного обеспечения или кода исправления к программе или серверу для устранения уязвимости. Регулярные исправления разработчиками программного обеспечения — лучшая стратегия для смягчения потенциальных атак. Чтобы помочь в этом и предотвратить любые пробелы, которые могут представлять уязвимость для злоумышленника, пользователи должны убедиться, что автоматическое обновление программного обеспечения включено.
Распределенный отказ в обслуживании (DDoS)
DDoS-атака происходит, когда злоумышленник перегружает сервер интернет-трафиком, используя несколько компьютеров, также известный как ботнет. Это препятствует доступу пользователей к службам и может привести к сбою сайта организации.
Атаку DDoS можно смягчить с помощью брандмауэров для фильтрации и предотвращения вредоносного трафика. Другие инструменты защиты включают в себя регулярную оценку рисков, дифференциацию трафика для рассеивания трафика и предотвращения целенаправленной атаки, а также ограничение скорости для ограничения количества запросов, которые может получить сервер.
8 распространенных векторов кибератак и как их избежать
Если вы профессионал в области кибербезопасности и живете в современном кибермире, кишащем акулами, ваша миссия — опережать злоумышленников и обеспечивать безопасность вашего предприятия. Это начинается с понимания ваших уязвимостей, знания множества способов взлома вашей защиты, а затем с внедрения средств защиты, необходимых для поддержания надежной и отказоустойчивой системы кибербезопасности. Это большая работа, критически важная для благополучия вашего предприятия.
Поверхность атаки, векторы атаки и нарушения определены
Независимо от бизнеса или отрасли, вот три ключевых термина, которые лежат в основе киберзащиты каждого предприятия:
Поверхность атаки
Общее количество точек в сети, где могут происходить атаки, когда неавторизованный пользователь («злоумышленник») может попытаться манипулировать или извлечь данные, используя множество методов взлома (« векторов кибератак »).
Если вы рассмотрите график, где по оси x перечислены все устройства и приложения в вашей сети (инфраструктура, приложения, конечные точки, IoT и т.), а ось Y — различные методы взлома, такие как слабые пароли и пароли по умолчанию, повторно используемые пароли, фишинг, социальная инженерия, неисправленное программное обеспечение, неправильные настройки и т. д. — график представляет собой поверхность вашей атаки.
Поверхность корпоративной атакиВектор кибератаки
Метод или способ злоумышленника может взломать или проникнуть во всю сеть/систему. Векторы атак позволяют хакерам использовать уязвимости системы, включая человеческий фактор.
Нарушение безопасности
Любой инцидент безопасности, при котором конфиденциальные, защищенные или конфиденциальные данные получают доступ или украдены неуполномоченной стороной, что ставит под угрозу бренд, клиентов и активы организации.Такие инциденты, как DDoS, майнинг биткойнов и т. д., также являются нарушениями безопасности.
Утечки данных являются наиболее распространенными, но не все инциденты безопасности связаны с кражей данных.
8 распространенных векторов кибератак и как их избежать
1. Скомпрометированные учетные данные
Имя пользователя и пароль по-прежнему являются наиболее распространенным типом учетных данных для доступа. Скомпрометированные учетные данные описывают случай, когда учетные данные пользователя, такие как имена пользователей и пароли, становятся доступными для неавторизованных лиц. Обычно это происходит, когда ничего не подозревающие пользователи становятся жертвами фишинговых атак и вводят свои учетные данные на поддельных веб-сайтах.В случае потери, кражи или раскрытия скомпрометированные учетные данные могут дать злоумышленнику доступ к внутренней информации. Хотя мониторинг и анализ внутри предприятия могут выявлять подозрительную активность, эти учетные данные эффективно обходят защиту периметра и усложняют обнаружение. Риск, связанный со скомпрометированными учетными данными, зависит от уровня доступа, который он предоставляет.
Учетные данные привилегированного доступа, которые предоставляют административный доступ к устройствам и системам, обычно представляют более высокий риск для предприятия, чем учетные данные потребителя.И не только люди имеют полномочия. Серверы, сетевые устройства и инструменты безопасности часто имеют пароли, которые обеспечивают интеграцию и связь между устройствами. В руках злоумышленника эти межмашинные учетные данные могут позволить перемещаться по всему предприятию как по вертикали, так и по горизонтали, предоставляя почти неограниченный доступ.
Сделайте это, чтобы избежать этого:
2. Слабые и украденные учетные данные
Ненадежные пароли и повторное использование паролей делают раскрытие учетных данных шлюзом для первоначального доступа и распространения злоумышленников.Недавние атаки вредоносного ПО, такие как Mirai, выдвигают на первый план эту угрозу не только для управляемых устройств, но и для устройств, подключенных к Интернету вещей.
Приложения и протоколы, отправляющие учетные данные для входа по вашей сети, представляют серьезную угрозу безопасности. Злоумышленник, подключенный к вашей сети, может легко найти и использовать эти учетные данные для бокового перемещения. Например, в атаке Target злоумышленники смогли украсть учетные данные Active Directory и распространить свою атаку на корпоративную платежную сеть.
Сделайте это, чтобы избежать этого:
3. Злонамеренные инсайдеры
Злонамеренный инсайдер — это сотрудник, раскрывающий информацию о частной компании и/или использующий уязвимости компании. Злонамеренные инсайдеры часто являются недовольными сотрудниками. Пользователи, имеющие доступ к конфиденциальным данным и сетям, могут нанести значительный ущерб из-за неправомерного использования привилегированных лиц и злонамеренных намерений.
Сделайте это, чтобы избежать этого:
4. Отсутствует или плохое шифрование
Шифрование данных переводит данные в другую форму, которую могут прочитать только люди, имеющие доступ к секретному ключу или паролю.
Зашифрованные данные обычно называют зашифрованным текстом, а незашифрованные данные — открытым текстом. Целью шифрования данных является защита конфиденциальности цифровых данных, поскольку они хранятся в компьютерных системах и передаются через Интернет или другие компьютерные сети. Сильное шифрование должно применяться к данным в состоянии покоя, в движении и, где это возможно, в процессе обработки.
Отсутствие/плохое шифрование приводит к тому, что конфиденциальная информация, включая учетные данные, передается либо в виде открытого текста, либо с использованием слабых криптографических шифров или протоколов. Это означает, что злоумышленник, перехватывающий хранение, передачу или обработку данных, может получить доступ к конфиденциальным данным, используя подходы грубой силы для взлома слабого шифрования.
Сделайте это, чтобы избежать этого:
5. Неправильная конфигурация
Неверная конфигурация — это ошибка в конфигурации системы. Например, если страницы настройки включены или пользователь использует имена пользователей и пароли по умолчанию, это может привести к взлому. Если конфигурация сервера установки/приложений не отключена, хакер может определить скрытые недостатки и получить дополнительную информацию. Неправильно настроенные устройства и приложения представляют собой удобную точку входа для злоумышленника.
Сделайте это, чтобы избежать этого:
6. Программы-вымогатели
Программы-вымогатели — это форма кибервымогательства, при которой пользователи не могут получить доступ к своим данным до тех пор, пока не будет выплачен выкуп.
Пользователям показываются инструкции о том, как заплатить за получение ключа дешифрования.Затраты могут варьироваться от нескольких сотен долларов до тысяч и выплачиваться киберпреступникам в биткойнах.
Сделайте это, чтобы избежать этого:
7. Фишинг
Фишинг — это тактика киберпреступления, при которой с жертвами связывается по электронной почте, телефону или текстовым сообщением кто-то, выдающий себя за законное учреждение, чтобы заманить людей для предоставления конфиденциальных данных, таких как личная информация, данные банковских и кредитных карт и пароли.
Он по-прежнему остается одним из самых эффективных векторов атак социальной инженерии. Некоторые фишинговые схемы невероятно сложны и иногда могут выглядеть совершенно невинно. Взлом Office of Personnel Management (OPM) демонстрирует, как фишинг может обойти почти все уровни традиционной безопасности, такие как шлюзы электронной почты и элементы управления конечными точками.
Сделайте это, чтобы избежать этого:
8. Доверительные отношения
Отношения доверия относятся к определенному уровню доверия, существующему между пользователями и системами. Например, доверительные отношения могут соединять два домена, поэтому пользователю нужно войти в систему только один раз, чтобы получить доступ к ресурсам.
Двумя доменами в доверительных отношениях являются доверенный домен (домен, который аутентифицирует пользователя в первый раз) и доверительный домен (домен, который полагается на доверенный домен для аутентификации пользователей и предоставляет доступ к своим ресурсам без повторной аутентификации пользователя). Пользователь).Один из распространенных примеров сценария нарушения — это когда учетные данные кэшируются на доверенном клиенте, который затем нарушается, что приводит к хаосу.
Сделайте это, чтобы избежать этого:
Другие методы взлома
Уязвимости нулевого дня
Это уязвимость, о которой никто не знает, пока не произойдет взлом (отсюда и название «нулевой день», поскольку между моментом атаки и обнародованием уязвимости не прошло времени).
Если разработчик не выпустил патч для уязвимости нулевого дня до того, как хакер воспользуется этой уязвимостью, то следующая атака называется атакой нулевого дня. Написание POC-эксплойтов красной командой — это способ смягчить уязвимости нулевого дня.
Атака грубой силой
Это безжалостная атака, основанная на пробах и ошибках, когда хакер пытается определить пароли или получить доступ к зашифрованным данным. Подобно вору, который пытается взломать сейф, атака грубой силы пробует множество различных комбинаций, пока наконец не сработает одна из них.Брутфорс работает по всем векторам атаки, описанным выше; включая атаки на пароли, взлом слабого шифрования и т. д., поэтому технически это не вектор атаки сам по себе.
ДДоС
Распределенный отказ в обслуживании (DDoS) — это кибератака на сетевой ресурс (например, сервер, веб-сайт) со стороны многочисленных скомпрометированных компьютерных систем. Сетевой ресурс наводнен посторонними сообщениями, что приводит к замедлению и/или сбою цели, что делает ее недоступной для авторизованных пользователей и систем.
DDoS-атака обычно происходит из-за компрометации нескольких систем. Потенциальным методом смягчения этого является использование CDN, обратных прокси-серверов, прокси-серверов высокой доступности и т. д., которые создают уровни защиты между системами, обслуживающими контент, и клиентами, запрашивающими контент.
Четыре кадра, которые нужно сохранить на экране радара
Заключение
Конечная цель злоумышленников и злонамеренных инсайдеров — получить доступ к вашим дорогостоящим устройствам, приложениям и данным.
Оставленные незащищенными устройства и пользователи, имеющие доступ к конфиденциальным приложениям, данным и сетям, будут представлять значительный риск для вашего предприятия.
Чтобы опередить плохих парней, вам нужно начать с понимания своих уязвимостей, знания множества способов взлома вашей защиты, а затем внедрить средства защиты, необходимые для поддержания надежной и отказоустойчивой системы кибербезопасности. Сведение к минимуму поверхности атаки следует рассматривать как базовую меру безопасности и является ключом к поддержанию высокого уровня безопасности.Кроме того, управление доверительными отношениями может помочь вам ограничить или устранить воздействие или ущерб, которые может нанести злоумышленник.
Новый вектор локальной атаки расширяет поверхность атаки уязвимости Log4j
Исследователи кибербезопасности обнаружили совершенно новый вектор атаки, который позволяет злоумышленникам использовать уязвимость Log4Shell на серверах локально, используя соединение JavaScript WebSocket.
«Этот недавно обнаруженный вектор атаки означает, что любой, у кого есть уязвимая версия Log4j на своем компьютере или в локальной частной сети, может просматривать веб-сайт и потенциально активировать уязвимость», — сказал Мэтью Уорнер, технический директор Blumira.«На данный момент нет доказательств активной эксплуатации. Этот вектор значительно расширяет поверхность атаки и может повлиять на службы, даже работающие как локальный хост, которые не были открыты для какой-либо сети».
WebSockets обеспечивают двустороннюю связь между веб-браузером (или другим клиентским приложением) и сервером, в отличие от HTTP, который является однонаправленным, когда клиент отправляет запрос, а сервер отправляет ответ.
Хотя эту проблему можно решить, обновив все локальные среды разработки и среды с выходом в Интернет до Log4j 2.16.0, Apache в пятницу выпустила версию 2.17.0, которая устраняет уязвимость отказа в обслуживании (DoS), отслеживаемую как CVE-2021-45105 (оценка CVSS: 7,5), что делает ее третьей уязвимостью Log 4j2, обнаруженной после CVE-2021-45046 и CVE-2021-44228.
Полный список недостатков, обнаруженных на сегодняшний день в структуре ведения журнала после того, как была обнаружена исходная ошибка удаленного выполнения кода Log4Shell, выглядит следующим образом —
«Нас не должно удивлять, что в Log4j были обнаружены дополнительные уязвимости, учитывая дополнительное внимание к библиотеке, — сказал Джейк Уильямс, технический директор и соучредитель фирмы BreachQuest, занимающейся реагированием на инциденты.
«Как и в случае с Log4j, этим летом раскрытие первоначальной уязвимости PrintNightmare привело к обнаружению нескольких дополнительных отдельных уязвимостей. Обнаружение дополнительных уязвимостей в Log4j не должно вызывать беспокойства по поводу безопасности самого log4j.Во всяком случае, Log4j более безопасен из-за дополнительного внимания со стороны исследователей».
Последнее событие произошло после того, как несколько злоумышленников использовали недостатки Log4j для проведения различных атак, включая заражение программами-вымогателями с участием российской группы Conti и нового штамма программ-вымогателей под названием Khonsari. Более того, ошибка удаленного выполнения кода Log4j также открыла двери для третьего семейства программ-вымогателей, известного как TellYouThePass, которое используется в атаках на устройства Windows и Linux, по словам исследователей из Sangfor и Curated Intel.
Приманки Bitdefender сигнализируют о активных атаках Log4Shell 0-Day
Легко эксплуатируемая, вездесущая уязвимость, помимо порождения целых 60 вариантов, предоставила прекрасную возможность для злоумышленников, при этом румынская фирма по кибербезопасности Bitdefender отмечает, что более 50% атак используют службу анонимности Tor для маскировки своих атак.
истинное происхождение.
«Другими словами, субъекты угроз, использующие Log4j, направляют свои атаки через машины, которые находятся ближе к их предполагаемым целям, и только потому, что мы не видим стран, обычно связанных с угрозами кибербезопасности, в верхней части списка, не означает, что атаки не происходят оттуда», — сказал Мартин Зугек, директор по техническим решениям Bitdefender.
Согласно данным телеметрии, собранным в период с 11 по 15 декабря, только на Германию и США приходилось 60% всех попыток эксплуатации. Наиболее распространенными целями атак в течение периода наблюдения были США, Канада, Великобритания, Румыния, Германия, Австралия, Франция, Нидерланды, Бразилия и Италия.
Google: более 35 000 пакетов Java затронуты уязвимостью Log4j
Разработка также совпадает с анализом, проведенным группой Google Open Source Insights Team, которая обнаружила, что примерно 35 863 пакета Java, что составляет более 8% репозитория Maven Central, используют уязвимые версии библиотеки Apache Log4j.
Из затронутых артефактов только около 7000 пакетов напрямую зависят от Log4j.
«Недостаток понимания пользователем своих зависимостей и транзитивных зависимостей затрудняет исправление; это также затрудняет определение полного радиуса действия этой уязвимости», — заявили Джеймс Веттер и Ники Рингланд из Google. Но с положительной стороны, 2620 затронутых пакетов уже были исправлены менее чем через неделю после раскрытия информации.
«Вероятно, пройдет некоторое время, прежде чем мы поймем все последствия уязвимости log4j, но только потому, что она встроена во многие программы», — сказал Уильямс.«Это не имеет никакого отношения к вредоносным программам злоумышленников. Это связано с трудностями в поиске множества мест, где встроена библиотека. Сама уязвимость предоставит первоначальный доступ для злоумышленников, которые позже будут выполнять эскалацию привилегий и горизонтальное перемещение — вот где реальный риск».
ВекторХакФестиваль
10.
Все наши программы доступны на YouTube.
Проверьте их!
29.09.2020 Потоковое
Наша программа вечерних стримов не идентична программе на площадках.Пожалуйста, ознакомьтесь со всеми подробностями в этом руководстве!
22.09.2020 Ассортимент!
Мы с гордостью объявляем состав участников Vector Hack 2020.
Пожалуйста, проверьте профили участников на сайте Vector Hack, мы также объявим еще несколько сюрпризов на следующей неделе.
25.08.2020 Открытый конкурс
Мы очень рады объявить об открытом конкурсе Vector Hack 2020 для AV Works.У вас есть возможность отправить видеозапись вашей работы, отрендеренной на вашем собственном #CathodeRayTube, #осциллографе, #Vectrex, #vectormonitor, для просмотра или отправить либо многоканальный аудиофайл, либо файл #ILDA с сопровождающим звуком для отображения на #Kvant.
Clubmax 3000 40kpps RGB #лазер.
21.08.20 Мы вернулись
Мы очень рады объявить о нашем возвращении на Vector Hack 2020. Этот выпуск фестиваля будет проходить со 2 по 4 октября в рамках культурной столицы Европы 2020 года в Риеке.
Из-за беспрецедентных обстоятельств, вызванных глобальной пандемией, мы усердно работали за кулисами, чтобы адаптировать нашу программу, дополняя физические мероприятия разнообразной онлайн-программой выступлений и выступлений.
Физические представления и семинары будут проходить в красивом промышленном зале Exportdrvo и Delta Lab в Риеке. В этом выпуске Vector Hack будут представлены живые выступления и мастер-классы региональных артистов: Филиппа Хаффнера, Бернхарда Расингера и Альберто Новелло, Хрвое Раднича, Бранимира Штивича и Ивана Марушича Клифа.
Онлайн-доклады и презентации будут основываться на темах, затронутых в первом выпуске Vector Hack, и расширять их, включая историю медиа-искусства, современный осциллограф и практику лазерного искусства от ряда докладчиков с международной сцены, включая выступление хорватско-австралийской векторной графики.
пионер Томислав Микулич, член новаторской группы Nove Tendencije.
В дополнение к этому, мы объявляем открытый конкурс для артистов со всего мира, которые не могут физически присоединиться к нам, чтобы представить работы AV для показа в Риеке во время фестиваля – подробности вскоре появятся!
Какие домашние службы можно взломать?
Кажется, что каждый день появляется новое интеллектуальное устройство, которое можно встроить в дом.Наши термостаты могут быть изменены дистанционно, наши холодильники могут сказать нам, какие продукты нам нужны, и мы можем приказать неодушевленному предмету включить для нас свет.
Это удобный образ жизни, но он сопряжен с риском. Большинство устройств можно взломать через Интернет или приложение, которое ими управляет. Один эксперт по кибербезопасности заявил: «Если это цифровое устройство, его можно взломать».
Вопрос не в том, «Что можно взломать?» но «Как я могу предотвратить неизбежную попытку взлома?» Есть определенные меры, которые вы можете предпринять, чтобы избежать этого — читайте дальше, чтобы узнать, как вы можете предотвратить взлом домашней службы.
Выход за рамки пароляВозможно, вас удивит, насколько пароль может вас защитить. Ниже приведены некоторые из основных советов относительно паролей и их важности.
- Рассмотрите возможность смены паролей для устройств, систем и сетей каждые шесть месяцев или около того.
- Используйте пароль из различных символов , чтобы его было непросто угадать. Чтобы быть хорошим паролем, не нужен сложный жаргон.Вы можете создать тот, который значим для вас и ни для кого другого .
- Не используйте один и тот же пароль для нескольких устройств . Запоминание такого количества паролей может показаться рутиной, но это жизненно важный шаг в обеспечении безопасности ваших домашних услуг.
- Использовать многофакторную аутентификацию . Хотя для входа в учетные записи требуется еще один шаг, два уровня учетных данных помогают сдерживать хакеров.
- Устанавливайте обновления на все устройства по мере их появления.Обычной практикой являются игнорирование обновлений, но иногда они включают в себя серьезные исправления безопасности.
- Измените пароль по умолчанию на каждом устройстве. Это кажется очевидным, но одна исследовательская компания обнаружила, что 15% устройств по-прежнему используют пароль по умолчанию, который можно найти с помощью простого поиска в Google. Без создания уникального пароля хакерам будет очень легко злоупотреблять вашими домашними службами.
Будьте осторожны с WiFiВозможно, вы уже слышали о том, что нужно избегать общедоступных сетей Wi-Fi, но знаете ли вы, что существуют способы усилить и вашу домашнюю сеть?
- Опять же, не используйте общедоступный WiFi .Хотя это удобно, хакеры могут легко проникнуть в устройства, используя соединение в кафе и ресторанах. Вместо этого рассмотрите возможность использования собственной защищенной беспроводной точки доступа .
- Даже в вашей частной сети используют отдельные интернет-соединения между телефонами и компьютерами . Вы можете разделить существующее соединение между устройствами, используя виртуальную локальную сеть (VLAN). Эта предосторожность удобна, потому что, если одно устройство будет скомпрометировано, другие не будут.
- Следите за скоростью вашего домашнего Wi-Fi . Если он вдруг кажется медленнее, чем обычно, это может свидетельствовать о хакере.
Поиск поставщика систем безопасностиК счастью, вы можете получить лучшее из обоих миров: умный и безопасный дом. Системы безопасности могут эффективно интегрироваться с домашней автоматизацией, но подумайте о том, чтобы найти поставщика, который осознает риски домашней автоматизации.
Если вы примете меры предосторожности, подобные описанным выше, риски станут менее распространенными.Скорее, вы можете наслаждаться удобством, которое обеспечивает домашняя автоматизация, и глубоко вздохнуть, зная, что все под вашим контролем.