Дайджест информационной безопасности №193 за период с 10 по 21 августа 2020

Новости ИБ

• Банк России предложит правительству и администрации президента перенести до 1 января 2025 года перевод банков с иностранного ПО и оборудования на отечественные аналоги. Ранее банки жаловались ЦБ на невозможность сделать это в срок. ЦБ также попросит правительство и АП уточнить порядок перехода на преимущественное использование российского ПО и оборудования.
• Роскомнадзор предлагает увеличить сроки давности для рассмотрения дел о неправомерном использовании персональных данных россиян и штрафы за подобные нарушения. Также Роскомнадзор хочет получить право по решению суда блокировать иностранные ресурсы с персональными данными россиян
• Основатель сервиса Have I Been Pwned для проверки скомпрометированных паролей, решил открыть кодовую базу проекта, что, по его мнению, поможет усовершенствовать сервис. Об этом Трой Хант сообщил в своем блоге.
• Компания Intel выпустила предупреждение безопасности, описывающее в том числе опасную уязвимость, затрагивающую ряд моделей ее материнских плат, серверных систем и вычислительных модулей. Речь идет об уязвимости CVE-2020-8708, позволяющей неаутенифицированному атакующему удаленно повысить привилегии на системе.
• MITRE опубликовала обновленный список из 25 наиболее опасных проблем и недочетов в ПО, которые в итоге могут приводить к возникновению уязвимостей и использоваться злоумышленниками для взлома систем.
• В конце июля 2020 года китайские власти обновили «Великий китайский файрвол» таким образом, чтобы блокировать зашифрованные HTTPS-соединения, которые используют современные протоколы и технологии, защищающие от перехвата. В частности, под блокировку теперь попадает весь HTTPS-трафик, использующий TLS 1.3 и ESNI (Encrypted Server Name Indication).
• FireEye открыла свою программу по поиску уязвимостей всем исследователям в области кибербезопасности. Сообщить о багах представителям компании можно на площадке Bugcrowd.
• Согласно новому исследованию специалистов Рурского университета в Бохуме и Мюнстерского университета прикладных наук (Германия), уязвимость в mailto позволяет злоумышленникам тайно похищать локальные файлы и отправлять их себе по почте.

Интересные посты русскоязычных блогов по ИБ

• Люди — самая большая проблема в обеспечении безопасности, но в то же время они могут быть самой большой защитой вашей организации. Владимир Безмалый поделился в блоге мнением о том, насколько важна в организации культура кибербезопасности и что начинаться она должна с руководства.
• В блоге на Хабре сетевой инженер Ростелеком-Солар рассказал об особенностях работы сертифицированного криптошлюза ViPNet, с какими проблемами можно столкнуться и как их решать.
• Сергей Борисов в своём блоге разобрал Методические рекомендации Минздрава по категорированию объектов КИИ в сфере здравоохранения: основные тезисы данного документа и отличия от остальных методических документов в сфере КИИ.
• На Хабре опубликован перевод статьи Matthew Green об атаке на голосовые звонки в LTE (ReVoLTE). В ней подробно рассказывается о протоколе voice over LTE (VoLTE) и его криптографических уязвимостях.

Интересные посты англоязычных блогов по ИБ

• В современном мире виртуальный SOC выходит на шаг вперед и предоставляет широкий спектр услуг, таких как исправление, устранение вредоносных программ, а также анализ угроз и защита. Некоторые провайдеры называют свои услуги SOC-as-a-Service. При создании правильного виртуального SOC необходимо учитывать ряд моментов, некоторые из которых не так очевидны и потребуют определенных усилий.
• В статье Recorded Future поднимается вопрос о сближении ИТ и промышленных технологий, новых проблемах в связи с удаленной работой и о том, почему руководителям ИТ и промышленных систем стоит объединиться для противостояния растущим угрозам кибербезопасности.
• В блоге Sophos проводится разбор семейства программ-вымогателей Dharma. Впервые оно было обнаружено в 2016 году, но продолжает представлять угрозу для многих организаций, особенно для малого и среднего бизнеса. Причина его долговечности отчасти кроется в том, что его вариации стали основой для атак по модели «программа-вымогатель как услуга» (RaaS).
• Brian Krebs в своем блоге говорит о том, почему важно создавать учётные записи даже в тех системах, которыми вы не собираетесь пользоваться, прежде чем киберпреступники сделают это за вас. Автор также дает ряд советов по защите своих аккаунтов.

Исследования и аналитика

• Лаборатория Касперского представила отчёт о DDoS-атаках во втором квартале 2020 года. Во втором квартале текущего года специалисты Kaspersky не зафиксировали существенного уменьшения количества DDoS-атак, если сравнивать с показателями первого квартала, хотя предполагалось, что это произойдет. Но отмечается незначительное снижение числа «умных» атак.
• «Доктор Веб» выпустил обзор вирусной активности для мобильных устройств в июле 2020 года. По сравнению с предыдущим месяцем, в июле на Android-устройствах было обнаружено на 6,7% меньше угроз. Число вредоносных программ сократилось на 6,75%, нежелательных — на 4,6%, потенциально опасных — на 8,42%, а рекламных — на 9,83%.
• Эксперты Positive Technologies поделились результатами анализа защищенности сетевых периметров корпоративных информационных систем. В ходе исследования в 84% организаций были выявлены уязвимости высокого уровня риска, причем в 58% компаний обнаружился хотя бы один узел с уязвимостью высокого уровня риска, для которой существует общедоступный эксплойт.
• Компания Group-IB выпустила отчет «RedCurl Пентест, о котором вы не просили», в котором рассказала о хакерской группе RedCurl. Ранее неизвестная хакерская группа RedCurl провела десятки тщательно спланированных атак менее чем за 3 года. Ее цель — корпоративный шпионаж против частных компаний различных отраслей от России до Северной Америки.
• Tripwire объявила о результатах опроса по внедрению лучших практик облачной безопасности среди 310 ИБ-специалистов. Согласно результатам, большинство специалистов по безопасности (76%) утверждают, что им трудно поддерживать конфигурации безопасности в облаке, а 37% заявили, что их возможности управления рисками в облаке хуже по сравнению с другими частями их среды. Почти все (93%) обеспокоены человеческой ошибкой, приводящей к случайному раскрытию их облачных данных.
• Компания Claroty опубликовала результаты своего исследования уязвимостей АСУ ТП за первую половину 2020 года, в ходе которого эксперты проанализировали 365 брешей, добавленных в Национальную базу данных уязвимостей (NVD), и ещё 385 дыр, о которых рассказало Агентство кибербезопасности и защиты инфраструктуры (CISA). Оказалось, что 70% брешей, перечисленных в базе NVD, можно использовать удалённо, почти 50% дыр допускают удалённое выполнение кода, 41% позволяют атакующему прочитать данные приложения, 39% можно задействовать для DoS-атак, 37% — для обхода защитных механизмов.
• В отчете DivvyCloud «2020 Cloud Misconfigurations Report» показано, что 196 утечек данных, связанных с неправильными конфигурациями облаков, обошлись компаниям в общей сложности примерно в 5 триллионов долларов США в период с 1 января 2018 года по 31 декабря 2019 года. Проблема в том, что эти затраты могут быть еще выше.
• Согласно исследованию Atlas VPN, видео-платформа Google YouTube удалила 1,98 миллиона каналов в период с января по март 2020 года. В 87,5% случаев каналы были прекращены из-за продвижения мошенничества, рассылки спама или размещения вводящего в заблуждение контента.
• Второй ежегодный опрос специалистов по безопасности приложений, проведенный компанией PerimeterX совместно с Osterman Research, показал масштабы и влияние теневого кода на различные организации и отрасли. В отчете приведены результаты и тенденции исследования теневого кода 2020 года, влияние теневого кода на безопасность веб-приложений и рекомендации по управлению риском теневого кода.
• Согласно отчету компании Sonatype «State of the Software Supply Chain», количество кибератак на компоненты ПО с открытым исходным кодом выросло на 430% в годовом выражении. Киберпреступники нацелились на компоненты с открытым исходным кодом, осуществляя атаки на цепочки поставок. С июля 2019-го по май 2020 года на компоненты с открытым исходным кодом было зафиксировано 929 атак. Чаще всего злоумышленники атаковали репозитории Node.js (npm) и Python (PyPI).
• ESG представила отчёт о безопасности разработки приложений. В ходе исследования было опрошено 378 разработчиков и специалистов по безопасности приложений. Выяснилось, что в половине компаний знают о том, что выпускают приложения, содержащие уязвимый код, но делают это осознанно. Чаще всего упоминаются такие причины как необходимость соблюдения сроков выпуска, низкая критичность уязвимостей или их обнаружение на слишком позднем этапе.
• Оператор сервера Tor опубликовал результаты своего исследования. По его данным, с января 2020 года группа неизвестных лиц устанавливает контроль над выходными узлами Tor и осуществляет атаки типа SSL stripping. В какой-то момент им принадлежала четверть всех выходных узлов (380 серверов), а сейчас они контролируют около 10% несмотря на то, что разработчики Tor трижды принимали меры для прекращения этой активности.

Громкие инциденты ИБ

• Данные 235 миллионов аккаунтов Instagram, YouTube и TikTok утекли в сеть. В базе были доступны логины, полные имена пользователей, контактная информация, изображения.
• На одном из форумов выставлена на продажу база данных, содержащая более 7 млн строк с данными пользователей защищенного почтового сервиса VFEmail. Дамп датируется апрелем нынешнего года. База данных включает 7 115 459 строк, содержащих логины, адреса электронной почты, хешированные пароли (MD5 и SHA-512) и IP-адреса.
• Фонд Хабенского сообщил о взломе почты директора и сотрудников. Злоумышленники пытались заполучить средства, отправляя с почт некоторых сотрудников письма с просьбами денежных переводов на личные счета.
• Национальным центром реагирования на компьютерные инциденты Республики Беларусь (CERT.BY) 8 августа 2020 года около 22:00 зафиксирована большая волна DDoS-атак на инфраструктуру сети BY-NET. Хакеры атаковали структуры, используемые для сайтов КГБ и МВД.