Даже кликнуть не успеешь: скорость шифрования файлов троянами-вымогателями
Основная цель зловреда после попадания в корпоративную сеть: поиск ценных данных и немедленное нарушение их целостности. Причем сделать все это надо оперативно, чтобы защитное ПО или пользователь не успели спасти свои данные. Для этого шифровать надо быстро, надежно и желательно не потерять сгенерированный ключ где-то в оперативной памяти, чтобы аналитик или антивирус не смогли его извлечь.
Как показывает исследование, в ходе которого проводили измерение скорости шифрования различными троянами-вымогателям, для того, чтобы зашифровать 100000 файлов, самому быстрому вредоносу нужно 5 минут 50 секунд. Это много или мало?
Достаточно много, чтобы успеть обнаружить аномалию и спасти хотя бы часть файлов.
Основная цель зловреда после попадания в корпоративную сеть: поиск ценных данных и немедленное нарушение их целостности. Причем сделать все это надо оперативно, чтобы защитное ПО или пользователь не успели спасти свои данные. Для этого шифровать надо быстро, надежно и желательно не потерять сгенерированный ключ где-то в оперативной памяти, чтобы аналитик или антивирус не смогли его извлечь.
Как показывает исследование, в ходе которого проводили измерение скорости шифрования различными троянами-вымогателям, для того, чтобы зашифровать 100000 файлов, самому быстрому вредоносу нужно 5 минут 50 секунд. Это много или мало?
Достаточно много, чтобы успеть обнаружить аномалию и спасти хотя бы часть файлов.
Splunk
Gone in 52 Seconds…and 42 Minutes: A Comparative Analysis of Ransomware Encryption Speed | Splunk
With the release of SURGe's new ransomware research, Splunker Shannon Davis shares a closer look into measuring how fast ransomware encrypts files.
Вот уже в течение нескольких лет одной из интересных для меня тем является кибер-безопасность современной медицины. Результаты исследований были аккуратно сложены в три больших статьи:
1. «Ошибки умной медицины» - вводный материал, в котором описаны наиболее распространенные проблемы и последствия для медицинских учреждений, не готовых к кибер-атакам.
2. «Подключенная медицина и ее диагноз» - анализ ситуации внутри реальной медицинской организации с детальным описанием имеющихся уязвимостей и подробными рекомендациями по устранению обнаруженных проблем.
3. «A therapeutic Postmortem of Connected Medicine» - заключительный материал, в котором рассматриваются реально существующие в открытом доступе точки входа к ценным данным, а также приводятся примеры конкретных «вредоносов», которые в настоящий момент активны в медицинских учреждениях.
28 декабря 2019 года крупная организация США в сфере здравоохранения (United States Department of Health and Human Services) опубликовала документ, в котором детально описывается стратегия по защите медицинских организаций от кибер-угроз.
Это означает, что многочисленные исследования и неоднократное привлечение внимания к проблемам не напрасны. Кто знает, сколько жизней в будущем спасет данная инициатива, которую уже сегодня берут на себя исследователи.
1. «Ошибки умной медицины» - вводный материал, в котором описаны наиболее распространенные проблемы и последствия для медицинских учреждений, не готовых к кибер-атакам.
2. «Подключенная медицина и ее диагноз» - анализ ситуации внутри реальной медицинской организации с детальным описанием имеющихся уязвимостей и подробными рекомендациями по устранению обнаруженных проблем.
3. «A therapeutic Postmortem of Connected Medicine» - заключительный материал, в котором рассматриваются реально существующие в открытом доступе точки входа к ценным данным, а также приводятся примеры конкретных «вредоносов», которые в настоящий момент активны в медицинских учреждениях.
28 декабря 2019 года крупная организация США в сфере здравоохранения (United States Department of Health and Human Services) опубликовала документ, в котором детально описывается стратегия по защите медицинских организаций от кибер-угроз.
Это означает, что многочисленные исследования и неоднократное привлечение внимания к проблемам не напрасны. Кто знает, сколько жизней в будущем спасет данная инициатива, которую уже сегодня берут на себя исследователи.
Denis Makrushin
Ошибки “умной” медицины · Denis Makrushin
Как показали многочисленные исследования, “умные” дома, “умные” автомобили и “умные” города, не только приносят несомненную пользу человеку в быту, но и зачастую создают угрозу его безопасности. Речь не только об утечке…
Встречаем первую открытую лекцию в рамках курса «Основы Безопасности Приложений» НИЯУ МИФИ
Алексей Канахин, кандидат физико-математических наук в области физики полупроводников, разработчик железа и исследователь проблем приватности приложений машинного интеллекта, расскажет о методах защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Место: онлайн-трансляция в телеграм-канале @makrushind
Время: 18:00, 14 октября.
Запрыгивай на лекцию и присоединяйся к обсуждению!
Алексей Канахин, кандидат физико-математических наук в области физики полупроводников, разработчик железа и исследователь проблем приватности приложений машинного интеллекта, расскажет о методах защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Место: онлайн-трансляция в телеграм-канале @makrushind
Время: 18:00, 14 октября.
Запрыгивай на лекцию и присоединяйся к обсуждению!
🔥7👍1
Найти уязвимость в крупной системе управления медицинскими данными за 4 часа полета - ✅
За несколько часов до своей презентации на конференции Insomnihack в Женеве я бегло посмотрел вторую (а первая стала поводом для доклада) крупную систему для управления медицинскими записями - OpenMRS. Оказалось, что и там существуют проблемы, которые открывают для злоумышленника возможности украсть пользовательские данные.
А пока разработчики исправляют обнаруженные уязвимости, доктор, не доверяй своему пациенту.
За несколько часов до своей презентации на конференции Insomnihack в Женеве я бегло посмотрел вторую (а первая стала поводом для доклада) крупную систему для управления медицинскими записями - OpenMRS. Оказалось, что и там существуют проблемы, которые открывают для злоумышленника возможности украсть пользовательские данные.
А пока разработчики исправляют обнаруженные уязвимости, доктор, не доверяй своему пациенту.
В прошлую пятницу Алексей Канахин познакомил студентов МИФИ и подписчиков нашего канала с темой защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Ключевые мысли, которые Алексей озвучил в своей лекции:
* Квантовая криптография != пост-квантовая криптография. Сохраняем компетентность и не путаем эти технологии.
* Гомоморфное шифрование - тренд в современной криптографии, который начинает набирать обороты и внедряется в отрасли с повышенными требованиями к конфиденциальности данных. Например, анализ и поиск по приватным данным или машинное обучение с использованием этих данных.
* Разработчик, не надо писать свои криптографические библиотеки, если только ты не ставишь задачу изобрести новый протокол передачи данных или криптографический примитив.
* Квантовый компьютер, представляющий угрозу современным цифровым сертификатам, ещё не создан, однако быть готовым к его появлению нужно уже сейчас, потому что атаки с его использованием будет крайне сложно заметить.
Мы подготовили видео-запись и подборку ссылок для самостоятельного изучения. Изучай и задавай вопросы в чате нашего канала.
Ключевые мысли, которые Алексей озвучил в своей лекции:
* Квантовая криптография != пост-квантовая криптография. Сохраняем компетентность и не путаем эти технологии.
* Гомоморфное шифрование - тренд в современной криптографии, который начинает набирать обороты и внедряется в отрасли с повышенными требованиями к конфиденциальности данных. Например, анализ и поиск по приватным данным или машинное обучение с использованием этих данных.
* Разработчик, не надо писать свои криптографические библиотеки, если только ты не ставишь задачу изобрести новый протокол передачи данных или криптографический примитив.
* Квантовый компьютер, представляющий угрозу современным цифровым сертификатам, ещё не создан, однако быть готовым к его появлению нужно уже сейчас, потому что атаки с его использованием будет крайне сложно заметить.
Мы подготовили видео-запись и подборку ссылок для самостоятельного изучения. Изучай и задавай вопросы в чате нашего канала.
🔥6👍1
Ожидание и реальность: развитие угроз для подключенной медицины
В 2017 году в Дублине мы сделали прогнозы по развитию угроз в отрасли «подключенной» медицины. 8 из 9 сценариев к настоящему времени уже случились.
В пункте 9 есть предположение, что «развивающиеся технологии, такие как интеллектуальные искусственные конечности и импланты для физиологических улучшений или встроенной дополненной реальности, не только позволяют людям с ограниченными возможностями приспособиться, почувствовать себя лучше и сильнее, но и несут в себе угрозу. Именно поэтому крайне важно интегрировать системы безопасности в эти технологии на ранних этапах проектирования».
Отсутствие громких инцидентов еще не означает, что в этот самый момент, где-то в исследовательских лабораториях не изготавливается протез с уязвимой версией прошивки. Хорошая идея для перспективного исследования на стыке областей бионики и кибербезопасности.
В 2017 году в Дублине мы сделали прогнозы по развитию угроз в отрасли «подключенной» медицины. 8 из 9 сценариев к настоящему времени уже случились.
В пункте 9 есть предположение, что «развивающиеся технологии, такие как интеллектуальные искусственные конечности и импланты для физиологических улучшений или встроенной дополненной реальности, не только позволяют людям с ограниченными возможностями приспособиться, почувствовать себя лучше и сильнее, но и несут в себе угрозу. Именно поэтому крайне важно интегрировать системы безопасности в эти технологии на ранних этапах проектирования».
Отсутствие громких инцидентов еще не означает, что в этот самый момент, где-то в исследовательских лабораториях не изготавливается протез с уязвимой версией прошивки. Хорошая идея для перспективного исследования на стыке областей бионики и кибербезопасности.
Атакующий: тук-тук
Роутер: кто там?
Атакующий: admin admin
В главных ролях: прошивка роутера с учетной записью, зашитой в код.
Роутер: кто там?
Атакующий: admin admin
В главных ролях: прошивка роутера с учетной записью, зашитой в код.
Denis Makrushin
Backdoors in D-Link’s backyard: multiple vulnerabilities in D-Link DIR-620 router · Denis Makrushin
“If you want to change the world, start with yourself.” In the case of security research this can be rephrased to: “If you want to make the world safer, start…
🔥3👏1
Media is too big
VIEW IN TELEGRAM
Где-то там, в 2020 году, в российском исследовательском институте большой компании только начинает собираться команда, которая станет сильнейшей в области кибербезопасности 5G и телекоммуникаций. С уникальными экспертами: от исследователей уязвимостей в облачных приложениях до математиков, которые ищут недостатки в алгоритмах.
И где-то там же, в 2020-м, сидя за кухонным столом в офисе, я чувствую себя %superhero_name, который не дает уязвимостям остановить прогресс.
И где-то там же, в 2020-м, сидя за кухонным столом в офисе, я чувствую себя %superhero_name, который не дает уязвимостям остановить прогресс.
🔥5🏆1
Бэкдоры на заднем дворе D-Link: часть 2
Продолжение первой части отчета об анализе роутера, который достался от провайдера. Помимо зашитых в код учетных записей, бедолага без авторизации отдавал содержимое конфигурационного файла с паролями.
CVE-2018-12677 хранит все учетные данные пользователя в открытом виде в конфиге внутри прошивки. И это не было бы так критично, если бы вторая уязвимость (CVE-2018-12419) не сохраняла этот конфиг в JS-переменной, которая доступна для гостя. Без авторизации. В исходном коде страницы.
Продолжение первой части отчета об анализе роутера, который достался от провайдера. Помимо зашитых в код учетных записей, бедолага без авторизации отдавал содержимое конфигурационного файла с паролями.
CVE-2018-12677 хранит все учетные данные пользователя в открытом виде в конфиге внутри прошивки. И это не было бы так критично, если бы вторая уязвимость (CVE-2018-12419) не сохраняла этот конфиг в JS-переменной, которая доступна для гостя. Без авторизации. В исходном коде страницы.
Denis Makrushin
Backdoors in D-Link’s backyard. Part 2: multiple vulnerabilities in D-Link DIR-620 · Denis Makrushin
The following advisory describes four vulnerabilities and hardcoded accounts in D-Link DIR-620 firmware.
👍4
И еще один бэкдор в прошивке роутера D-Link DIR-620, который достался вместе с договором от провайдера услуг.
Как мы выяснили вчера, прошивка хранит пароли в конфигурационном файле в открытом виде. Помимо пользовательских данных в нем можно найти строку формата “support<substring>”. Это логин предустановленной учетной записи для веб-панели администратора, предназначенный для нужд сервис-провайдера, а пароль лежит рядом в открытом виде. Вот так появилась CVE-2018–12676.
Если встретил нечто подобное в своем кофигурационном файле, то лучше обнови роутер до актуальной версии заводской прошивки.
Как мы выяснили вчера, прошивка хранит пароли в конфигурационном файле в открытом виде. Помимо пользовательских данных в нем можно найти строку формата “support<substring>”. Это логин предустановленной учетной записи для веб-панели администратора, предназначенный для нужд сервис-провайдера, а пароль лежит рядом в открытом виде. Вот так появилась CVE-2018–12676.
Если встретил нечто подобное в своем кофигурационном файле, то лучше обнови роутер до актуальной версии заводской прошивки.
Итогом исследования стал отчет об уязвимостях, который был отправлен производителю, провайдеру связи и MITRE.
На фото я показываю примерный размер обнаруженной проблемы.
Результат: производитель выпустил новую версию прошивки с исправлениями для устройства, которое уже давно снято с поддержки.
На фото я показываю примерный размер обнаруженной проблемы.
Результат: производитель выпустил новую версию прошивки с исправлениями для устройства, которое уже давно снято с поддержки.
👏2