Технологии безопасности

Сайт посвященный вопросам безопасности

Функциональная безопасность, Часть 3 из 3. МЭК 61508: Систематичная случайность или случайная систематичность?

Безопасности на Хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда.

Данная статья продолжает серию публикаций на тему функциональной безопасности.

Во вводной части 1:

— обоснована важность оценивания и обеспечения функциональной безопасности для компьютерных систем управления;
— рассмотрены архитектуры систем, для которых необходимо оценивать и обеспечивать функциональную безопасность; к таким системам относятся АСУ ТП (Industrial Control Systems) на базе программируемых логических контроллеров (ПЛК), встроенные системы (Embedded Systems) и уровень устройств (Device Layer) для интернета вещей;
— кратко представлено множество стандартов, относящихся к функциональной безопасности в различных сферах применения.

В части 2 рассмотрена общая структура стандарта МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» (IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems) и используемая в нем терминология.

Описание достаточно непростой терминологической казуистики заняло целую статью, и теперь пора разобраться со структурой требований МЭК 61508.

Не рекомендуется к прочтению тем, кто не интересуется стандартизацией.
Continue reading

Книга «Как пережить полный конец обеда, или безопасность в PHP». Часть 1

Big Five Part 3 by CrazyAsian1

Привет. Меня зовут Саша Баранник. В Mail.Ru Group я руковожу отделом веб-разработки, состоящим из 15 сотрудников. Мы научились создавать сайты для десятков миллионов пользователей и спокойно справляемся с несколькими миллионами дневной аудитории. Сам я занимаюсь веб-разработкой около 20 лет, и последние 15 лет по работе программировать приходится преимущественно на PHP. Хотя возможности языка и подход к разработке за это время сильно изменились, понимание основных уязвимостей и умение от них защититься остаются ключевыми навыками любого разработчика.

В интернете можно найти много статей и руководств по безопасности. Эта книга показалась мне достаточно подробной, при этом лаконичной и понятной. Надеюсь, она поможет вам узнать что-то новое и сделать свои сайты надёжнее и безопаснее.

P. S. Книга длинная, поэтому перевод будет выкладываться несколькими статьями. Итак, приступим…
Continue reading

В Австралии распространяют зловредное ПО, подбрасывая флешки в почтовые ящики


Вот такие флешки находят жители некоторых регионов Австралии в своих почтовых ящиках

Что обычно делает человек, который находит потерянную кем-то флешку? Конечно же, радуется бесплатному подарку и спешит подключить свою находку к своему ПК. В большинстве случаев на таких флешках находятся чьи-то фото и документы. В этом случае чужие файлы обычно просматриваются, затем стираются и накопитель используется по назначению уже новым владельцем.

Но бывает и так, что чужая флешка наносит ущерб ПК или ноутбуку. Это может быть специальным образом сконструированное устройство, предназначение которого — вызвать поломку компьютера, к которому она подключена. Об этом несколько раз писали на Хабре. Кроме того, флешка может быть и безвредной для железа, но опасной для программного обеспечения нового владельца. Другими словами, на таком накопителе может быть зловредное ПО.
Continue reading

Новый рекорд квантовой телепортации по оптоволокну: 6,2 км по прямой


Фото: Университет Калгари

Квантовая криптография становится всё более реальной и близкой перспективой. Физики в США, Китае, России и других странах совершенствуют методы квантовой телепортации по обычным каналам связи. Сейчас научные работы вплотную приблизились к требованиям, которые выдвигаются к практическим квантовым криптографическим системам.

В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография основана на законах физики. Защита информации (в данном случае, неизменность параметров физического объекта) гарантируется принципом неопределённости Гейзенберга.
Continue reading

Массовый взлом FirstVDS

Минимум 3000 сайтов на 1000 серверов скомпрометировано на уровне супер-пользователя.

Несколько дней назад мы обнаружили, что файлы наших сайтов были не санкционировано изменены. Оказалось — взлом. Вроде бы ничего интересного, но в результате небольшого расследования нам удалось обнаружить сотни взломанных серверов в сети FirstVDS.

Основной целью злоумышленника является реклама казино «Вулкан». Из инфицированных сайтов он создает перелинкованные друг с другом ссылочные сети с рекламными веб-страницами, тем самым влияя на алгоритмы поисковых систем. Эти страницы завлекают ботов по запросам вроде «лучшее казино в интернете», и при переходе пользователя на такую страницу, его переносят в казино. Работа оригинального сайта, как правило, полностью не нарушается, и поэтому проблемы остаются незамеченными администраторами большинства серверов.

Это негативно сказывается на поисковой оптимизации сайтов. Поисковики понижают позиции инфицированных сайтов и рекламные бюджеты улетают в трубу. Кроме того, взломанные серверы работают в режиме нештатной нагрузки, что влияет на их стабильность.

Обнаруженные серверы являются полностью скомпрометированными. Нет никаких гарантий, что файлы и данные не украдены, или не внедрена лазейка для удержания контроля над сервером в будущем, после лечения сайтов.
Continue reading

Microsoft научилась прибирать за собой?

Эпопея с добровольно-принудительным «подталкиванием» пользователей прошлых версий Windows к обновлению до десятой версии, наверное, войдет в учебники по рекламе. В качестве примера или антипримера — тут уж дело десятое, но крови (во всем мире) идея «не мытьем, так катанием» получить от пользователя согласие на установку «десятки» попортила немало, а число комментариев по этому поводу побило, вероятно, самые смелые ожидания маркетологов компании.

Что же, ничто не вечно под луной, и обещанный срок бесплатного обновления минул больше месяца как. Срок минул, а напоминалки в иных системах как были, так и остались (возможно, неактивными). И вот (кто бы мог подумать?) в списке обновлений для Windows появилось оно — обновление KB3184143.
Continue reading

Хакеры взломали движущуюся Tesla Model S с 20 километров

Разработчики из Keen Security Lab, подразделения китайского интернет-гиганта Tencent продемонстрировали эксплуатацию уязвимости в ПО Tesla Model S. Команда специалистов после обнаружения уязвимости сообщила о ней компании Tesla. В публичный доступ информацию о проблеме выложили после ее исправления производителем.

Уязвимость компрометирует CAN шину, которая контролирует большинство систем электромобиля. Для эксплуатации этой уязвимости необходимо, чтобы машина была подключена к WiFi точке доступа, сконфигурированной злоумышленниками. Работает все это через браузер автомобильного ПК. Команда, обнаружившая уязвимость, говорит, что для перехвата управления над автомобилем должен быть выполнен ряд условий.
Continue reading

Обратный отсчет: книга о Stuxnet, исследователях вредоносного кода и уязвимой критической инфраструктуре

Ну что, пришло время попробовать себя в жанре книжного обзора. Книга Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon журналистки Ким Зеттер, наиболее известной благодаря своим статьям в журнале Wired, вышла достаточно давно, в ноябре 2014 года, но с тех пор так и не была переведена на русский язык (на английском доступна, например, в Amazon в электронном виде). Впрочем, дело не в переводе: историю Stuxnet можно изучать и по открытым публикациям и исследованиям специалистов по безопасности, но в этом случае вы получите ассортимент технических фактов о вредоносном коде, из которых не так-то просто сложить паззл всей истории.

«Обратный отсчет» — это удачная попытка подняться выше строчек кода, свести воедино все, что известно о первой и по сей день наиболее масштабной специализированной атаке на индустриальные системы. При этом книга не подменяет факты драмой и максимально далека от беллетристики. Ценность ее еще и в том, что она показывает процесс исследования вредоносного кода чуть более подробно, чем обычно: примерно половина текста посвящена именно этому: от обнаружения кода и идентификации атаки, до анализа уязвимостей нулевого дня и, наконец, анализа модулей, модифицирующих работу промышленных контроллеров.

С момента обнаружения Stuxnet прошло шесть лет, семь — с момента начала атаки, больше десяти, предположительно, с начала разработки. Это не единственная кибератака, направленная на саботаж в индустриальных системах, но она по-прежнему не имеет себе равных по сложности. Отчасти это хорошие новости, но причиной является не повышенная защищенность промышленных систем, а скорее смена ориентиров у заказчиков. «Обратный отсчет» — это книга об атаке, названной в свое время «блокбастером» инфобезопасности, но это еще и книга о работе исследователей — тех, кто анализирует вредоносный код и проектирует защиту от него, вне зависимости от источника атаки и намерений.
Continue reading

Syncookied — OpenSource ddos protection system

Когда в нашей компании LTD BeGet встала задача прозрачной фильтрации атак на 4 уровне модели OSI, мы написали свое решение Syncookied. Данным решением мы бы хотели поделиться с Internet сообществом, так как на текущий момент аналогов ему мы не нашли (или мы о них не знаем). Есть платные решения на подобии Arbor, F5, SRX, но стоят они совершенно других денег и в них используются другие технологии защиты.

Почему для разработки мы выбрали язык Rust и фреймворк NetMap, с какими сложностями мы столкнулись в процессе — будет рассказано в этой статье.

» GitHub
» GitHub модуль ядра
» Страница проекта


Continue reading

Демонстрация брутфорса пароля iPhone 5c c зеркалированием флэш-памяти

В апреле 2016 года ФБР и Apple устроили настоящее шоу вокруг телефона iPhone 5c стрелка из Сан-Бернардино, для которого якобы никак не удавалось подобрать пароль без помощи компании Apple.

ФБР давило на Apple, требуя технической помощи. Тим Кук опубликовал открытое письмо, в котором обвинил ФБР в принуждении Apple встроить бэкдор в iOS. Дело дошло до Конгресса и Сената США, проблему обсуждали все крупнейшие американские СМИ и телеканалы. Мир с замиранием сердца следил за санта-барбарой и гадал: даст Apple федералам или не даст доступ к криптосистеме iPhone.

iPhone защищён от брутфорса через опцию уничтожения данных на устройстве после десяти некорректных попыток ввода и увеличивающееся время задержки между наборами кода разблокировки (5 секунд после 5 попыток, затем 1 минута, 5 минут, 15 минут и 60 минут).
Continue reading