Новое исследование, проведенное компанией Honeywell, показало, что съемные USB-носители «внезапно» представляют угрозу, описываемую как «значительную и преднамеренную», для защиты промышленных сетей управления технологическими процессами.
В отчете сообщается, что на 44% проанализированных USB-накопителей был выявлен и заблокирован по крайней мере один файл, угрожавший безопасности. Четверть (26%) из обнаруженных файлов была способна нанести серьезный ущерб, в результате которых операторы могли потерять возможность видеть ход выполнения операций или управлять им. Среди обнаруженных угроз были такие как TRITON, Mirai, разные формы червя Stuxnet. Сравнительный анализ также показал, что традиционные средства защиты от вредоносных программ не смогли обнаружить до 11% выявленных угроз.
Учитывая, что задаче защиты и ограничения доступа к корпоративным сетям традиционно уделяется большее внимание, чем контролю устройств, уязвимость организаций от съемных носителей USB становится еще более очевидной.
А внимания уделяют частенько слишком мало. Так, одной из нашумевших тем, сопутствовавших президентским выборам 2016 г. в США, был взлом почтового сервера Демократической партии (DNC) с хищением переписки огромного объема. Как утверждали демократы и чиновники, взлом был произведен из Румынии, и в деле участвовали российские хакеры или спецслужбы, и сделано это было ради попытки вмешаться в выборы – а все остальные версии не что иное, как «теория заговора».
Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике. Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 года с сервера DNC было загружено 1976 мегабайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 МБ/с. При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не позволял передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 года были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 МБ/с соответственно. Пиковые скорости с более высокими скоростями регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 мегабайт в секунду. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.
В то же время, скорость в 23 МБ/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Кроме того, эксперты полагают, что объем похищенных данных слишком велик для передачи через Интернет. Все это позволяет сделать вывод, что хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на внешний USB накопитель.
Не столь давно было опубликовано другое одно весьма интересное исследование, выполненное австралийскими специалистами из University of Adelaide. Они протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что более 90 процентов из них передают информацию на внешнее устройство USB, не являющееся прямым адресатом при передаче данных. «Считалось, что, поскольку информация передается только по прямому пути между USB-устройством и компьютером, она защищена от потенциально скомпрометированных устройств», — сказал Yuval Yarom, «Но наши исследования показали, что если вредоносные устройства, подключены к соседним портам на одном и том же внешнем или внутреннем USB-хабе, эта конфиденциальная информация может быть захвачена вредоносным устройством». Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных. В качестве теста для подтверждения гипотезы исследователи использовали модифицированное недорогое устройство с подключаемым USB-разъемом для считывания каждого нажатия клавиши с соседнего USB-интерфейса клавиатуры, после чего перехваченные данные были отправлены через Bluetooth на другой компьютер.
Как исследование австралийского университета, так и анализ утечки почтовой переписки с сервера DNC прямо говорят о том, что тенденция последних лет забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, категорически ошибочна и даже вредна. Да, сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации, а значит, их использование для хищения конфиденциальной информации все еще актуально, и более того – намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту. Более того, возможность атаки вредоносного ПО со съемного USB-накопителя также следует иметь в виду как потенциальную угрозу.
До некоторых организаций, много лет игнорировавших угрозу USB, проблема все же доходит. Как говорится, лучше позже, чем никогда. Так, весной 2018 г. компания IBM запретила своим сотрудникам использовать съемные устройства хранения данных. В директивной рассылке для сотрудников Global CIO Shamla Naidoo сообщил, что компания «расширяет практику запрета передачи данных на все съемные портативные устройства хранения данных (USB, SD-карта, флэш-накопитель)». В качестве аргумента был приведен возможный финансовый и репутационный ущерб от утери или некорректного использования съемных устройств хранения. Подход был выбран радикальный – просто запретить USB. При этом разработчикам было рекомендовано использовать собственный облачный сервис синхронизации и обмена для хранения и передачи данных.
Другой монстр мировой экономики, онлайн-ритейлер Amazon.com, во имя борьбы с мошенничеством сотрудников, сливающих внутреннюю информацию независимым продавцам, пошел на увольнение подозреваемых сотрудников в США и Индии за то, что они якобы неправомерно получили доступ к инсайдерским данным. Чтобы избежать мошенничества и утечек, Amazon ограничил для сотрудников технической поддержки возможности поиска по внутренней базе данных, а также запретил использовать USB-порты.
Нам неизвестно, какие методы и средства для блокировки USB выбрали IBM и Amazon, но учитывая информацию о том, что в IBM думают о возможности предоставления исключений при блокировке USB порта для отдельных сотрудников, вряд ли это полноценный DLP-продукт.
К сожалению, многие решения, позиционируемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне, или препятствуя старту драйвера устройства. Такая «защита» является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности – и уж точно никак не способна помешать зловреду атаковать компьютер с флешки.
Качественная нейтрализация угроз, связанных с использованием интерфейса USB, достигается посредством гибкого сочетания функций мониторинга и контроля доступа к устройствам, подключаемым через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройство хранения данных, но являющихся потенциальным каналом утечки данных или проникновения зловредов.
В заключении хочу заметить, что наш продукт DeviceLock DLP еще с версии DeviceLock 5.5, опубликованной в далеком 2003 г., обеспечивает полноценный контроль портов USB и FireWire. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через USB-устройства, съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и другие каналы передачи данных. Кроме того, поддержка событийного протоколирования и теневого копирования в DeviceLock DLP обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.
Revertis
Во-первых, надо бы статью по-русски написать:
«При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не передавать данные с такой скоростью»,
«в IBM думаю о возможности»…
Во-вторых, о вас тут писали что-то запоминающееся: DLP-система DeviceLock 8.2 — дырявый штакетник на страже вашей безопасности. Вы пофиксили всё, что указано в той статье?
BLACK816 Автор
Спасибо за подсказки. Поправил опечатки.
То, что указано в той статье, пофиксили давным-давно, и об этом там же в комментах четко и прозрачно сказано.
imanushin
Ну они еще советуют все пароли отправлять к Device Lock.
Тут ведь надо понимать, что эти решения не для безопасности, а просто для бумаг, аудита и сертификации.
BLACK816 Автор
а вот искажать суть — некрасиво. не пароли, а хеши. Цифровые отпечатки, если более красиво говорить. И вам об этом уже сказали в той ветке. Упрямство ради принципа? ПННХНЧ?
imanushin
Это у вас такая позиция компании?
Не лгите. Я задал вопрос, на который не было ответа. И я повторил его под спойлером, чтобы не открывать страницу. Ответьте, пожалуйста, технически.
Вот, так и надо писать — хеш данных. А какой хеш? Какой алгоритм? Я надеюсь вы использовали что-то лучше чем "не имеющее аналогов проприетарное решение"?
Далее — если вы ищете пароль как подстроку в тексте, то как вы это делаете? Какой алгоритм хеширования вы использовали, который позволяет эффективно искать подстроку? Ведь не хеширование Рабина-Карпа? Насколько стойкий этот хеш с точки зрения криптографии? Он подсоленный или доступен для взлома с помощью радужных таблиц?
Вы поймите, с точки зрения маркетинга всё выглядит классно. А на деле все пароли скидываются в общее хранилище, а потом бесконтрольно раздаются по сети. В итоге малейшая ошибка в ваших закрытых алгоритмах — и скомпрометировано вообще всё.
BLACK816 Автор
Вы искажаете суть, повторяя выражение, где вам уже указали на его недостоверность — «отправлять пароли к DL». Отвечать на последующий вопрос или нет — это уже право, а не обязанность. Суть остается ровно той же — пароли не хранятся, хранятся хеши. Также вам намекнули, что это всего лишь пример, а не руководство к действию. Точка.
imanushin
Не все хеши безопасны, не все хеши криптостойки. Ответьте, пожалуйста, какой хеш вы используете. Или признайте, что "не имеете право раскрывать проприетарный алгоритм, не имеещий аналогов". И хватит уже юлить, ну сколько можно.
То есть вы сделали схему, которая распространяет секретные пароли по всем компьютерам сети, при всём при этом хеш не имеет подтверждений крипостойкости. А потом вы "намекаете, что это не самая лучшая функция". Это действительно ваша официальная позиция? Вот задумайтесь, вы бы стали использовать подобные "решения"?
BLACK816 Автор
Даже не знаю, как комментировать ваши выдумки… учитывая, что ничего кроме политик не распространяется по всем компам, включая хеши…
imanushin
Окей, уже лучше. Значит не DLP агент проверяет скопированый текст на соответствие. Возвращаемся к предыдущей моей фразе:
Ответьте, пожалуйста, какой хеш вы используете. Или признайте, что "не имеете право раскрывать проприетарный алгоритм, не имеещий аналогов". И хватит уже юлить, ну сколько можно.
BLACK816 Автор
См.выше.
BLACK816 Автор
Точно не в рамках этой статьи. возможно, напишем отдельную статью по этой теме.
Однако, могу ответственно сказать, что ключевая ваша ошибка — в словах «потом бесконтрольно раздаются по сети». Вот этого попросту нет. Не раздаются никуда.
Вопрос компрометации хешей не возникает.
imanushin
Вы очень загадочно отвечаете. Ожидалось, что ответ будет формулой вида
SHA512(password + X) (очевидно, что SHA512 не подойдет). Однако окей, буду ждать.
Я говорил, что ваша компания рекомендует отправлять все пароли на сервер с device lock. Т.е. если раньше пароль от базы знал администратор и хеш был известен самой базе, то теперь еще о нем будет знать Device Lock.
У меня нет оснований считать, что вы изобрели чудо хеш, который позволяет искать фразу по тексту, не раскрывая её. При этом хеш должен быть криптостойким, не поддающимся взлому по радужным таблицам и т.д.
А про бесконтрольную раздачу: где-то документы проверяются чудо-хешом. Именно на этих серверах есть чудо-хеш, который может сказать — является ли пароль подстрокой документа, или нет.
BLACK816 Автор
У нашей компании в данном ракурсе скорее позиция ЧННХНП.
gerasimenkoao
Тут скорее вопрос в доверии компании к своим сотрудникам.
Есть подозрения? До свидания!
С другой, а зачем провоцировать персонал?
Залейте порты эпоксидкой, опломбируйте системники!
Есть контора, где любое подключенное USB-устройство «кирпичится»
Есть системы, запрещающие доступ к портам.
Ок, что мешает прокручивать информацию на экран и снимать камерой смартфона?
Да мало-ли как еще можно утянуть желаемое!
И опять приходим к первому абзацу, ибо невозможно работать со специалистом по безопасности информации не доверяя ему, как впрочем и с докторами.
BLACK816 Автор
Вопрос доверия — один из фундаментальных, когда речь идет о доступе к информации ограниченного доступа. Но это еще не значит, что если доверие не 100%, то надо сразу всех выгонять. Для этого и существуют специальные решения для защиты информации.
Это прошлый век. И совершенно непродуктивно. Бизнес-функции могут требовать доступа к портам.
Ничто не мешает. Вопрос как долго этим заниматься, с каким объемом данных, насколько эти данные структурированы, как долго потом заниматься обработкой полученных графических данных и т.п. И параллельно отметим, что ничто не мешает и просто запомнить, увидев глазами.
Но проблема-то не в этом.
Кроме спецов по безопасности, доступ к информации обычно имеют и другие категории граждан.
imanushin
Если за базу предложили 1 млн., то сотрудник просто поделится выручкой с профессионалом, который обойдет Device Lock (или что лучше — подставит кого-то).
Если вы хотите передать файл (или по-другому — последовательность бит), то можно моргать пикселом и снимать на телефон, можно моргать светодиодом на клавиатуре, можно подключить диск через eSata разъем диск в момент загрузки, так как его сложно отличить от внутренних дисков.
Все эти решения — простые. Если стоимость базы 1 млн., то её утянут влегкую, несмотря на ваши статьи, сертификаты и прочие презентации.
BLACK816 Автор
Социальную инженерию, включая банальный подкуп, никто не отменял.
Утянуть можно все и для этого существует миллион способов.
Ключевая задача DLP решений — противодействовать непреднамеренным и случайным утечкам данных, а не бороться с мизерным процентом направленных атак (хищений), да еще и руками профессионалов.
Ну а за физическую доступность варианта «подключить диск в eSata» надо админу давать по рукам и очень больно. Никто кроме админов не должен иметь возможности вскрывать корпуса машин. Моргание пикселами даже комментировать не хочется. Азбука Морзе тоже неплохо, ага.
imanushin
Ну или по-другому: вы не способны защитить сеть умышленных утечек. Вы же сообщаете об этом на презентациях? Или только признаете в коментариях, что софт по сути является аналогом антивируса Бабушкина?
Уважаемый BLACK816, eSata зачастую упоминается в разрезе внешних разъемов, см. тут примеры материнских карт. Вы же в своем мануале упоминаете про съемные устройства на основе SATA. И ваши разработчики знают, насколько сложно их отличить от встроенных устройств. Поэтому лучше так и отвечайте в коментариях, что да, можно легко увести данные через подобные устройства (но не через все, это правда).
BLACK816 Автор
Опять искажаете.
Есть умышленные утечки и умышленные утечки. Одни делаются руками обычных сотрудников — которые «просто» хотят что-то прихватить себе, например, увольняясь. Другие — руками ИТ-профессионалов. Их возможности по воздействию на систему радикально отличаются. Обычный юзер не станет искать попытки взломать подсистему защиты, просто обломится. Профи же найдет и способ фонариком, как вы предлагаете, поморгать и далее дешифровать такую запись в нечто полезное.
Какова вероятность утечки первым описанным способом и вторым?
Вот тут и есть разница.
Что касается торчащего наружу eSata, то админу, который для корпоративных рабочих станций подбирает железо, где нет возможности ограничить физический доступ, надо давать не только по рукам, но и по кошельку. Одно дело — «удобно иметь eSata как внешний разъем на домашнем компе», и совсем другое — на корпоративном АРМе.
Не надо смешивать в одну кучу мух с котлетами, очень вас прошу.
imanushin
Это ваше мнение? У вас есть статистика? С моей точки зрения, при высокой ценности базы сотрудник просто найдет знакомого и поделится. И при низкой — дешевле вообще не покупать ничего у вас. Правильно?
А у вас есть статистика? Ведь нет же, мы все тут знаем.
Я повторю свою фразу: вы не способны защитить сеть умышленных утечек. Вы же сообщаете об этом на презентациях? Или только признаете в коментариях, что софт по сути является аналогом антивируса Бабушкина?
imanushin
кстати, в вашей компании два человека могут голосовать за коментарии. И мои коментарии получили минусы, причем только часть из них.
Как Вы считаете, есть ли в этом какая-то связь? )
BLACK816 Автор
Я никак не считаю. Любые ваши догадки — это ваши догадки. Можете интерпретировать все что угодно как вам нравится, это ваше право. Я точно так же не вижу, кто и как лепит вам минусы. Может, это антивирус Бабушкина себя так проявляет, кто ж его знает…
Graphite
Поддерживаю. Ваши комментарии все по два минуса, его ответы ровно по одному плюсу — самому же нельзя голосовать за себя.
Там ниже мой комментарий с двумя минусами, причем написаны совершенно очевидные вещи, так что минусовать может либо совершенный неадекват, либо лицо заинтересованное. Я ставлю на второе и не исключаю первого :)
Graphite
Это шутка такая что ли? Вот прямо сейчас из швейцарской деревни на 10к жителей я получил на speedtest.net 312 мегабит или примерно 40 мегабайт в секунду до сервера в Вашингтоне. И это просто лимит моего офисного вайфая, по проводу скорее всего больше получится. В 2013 году из университета Лозанны я видел самый что ни на есть гигабит через Атлантику со своего компьютера.
Или они хотят убедить нас, что у сервера который обрабатывает всю почту демократической партии всего 100 мегабит аплинк?
Если же сходить по ссылке на источник, то все ещё интереснее. "Эксперт" качал один раз 2Гб данных с компьютера "в 40 милях" на компьютер "в 20 милях" и получил только 11 мегабайт в секунду. Потом "эксперт" посмотрел средние результаты тестов скорости у американских провайдеров и увидел те же цифры.
Серьезно, не позорьтесь, уберите этот бред.
lokkiuni
Я уж молчу про то, что 190 мбайт влезают в кэш винды полностью, и с какой скоростью шла запись — не известно.
teecat
Еще одна очень странная статистика.
То есть каждая вторая флешка с вирусом? Не верю. Зараженных флешек много, но не настолько
Сколько процентов таких файлов было найдено? Шифровальщики и адваре — да постоянно, но откуда на флешке возьмется такое старье, как Stuxnet (который и размера немаленького и опознается всеми — использовать его для атак нет смысла)
Еще одна странная цифра. Если говорить о статистике необнаруживаемых в день создания вредоносных программ — то это очень хороший результат. В момент атаки антивирус не знает гораздо больше. Единственно, что приходит в голову — что большая часть найденного — старье. А тогда что это за атаки?
d-stream
ZaEzzz
Эм… А где отчет?
Там ссылка ведет не на отчет. И по ссылке на отчет так же не выйти.
BLACK816 Автор
там по ссылке есть форма, где honeywell в обмен на ваши персданные даст отчетик.
ZaEzzz
Какой хороший подход. Благо «qweqwe» там работает.
И в «отчете» там какой-то откровенный маркетоидный буллшит. Иначе не назвать. Вы использовали эти материалы для написания статьи?
roboter
Откуда они вообще такую цыфру узнали? должны быть какие-то логи, и там уж точно видно откуда и куда что копировалось.
Revertis
Да всё нормально. Просто в логе была только инфа типа:
19:01:35 Начинаю копирование или отправку, размер 1976 MB....
19:03:02 Закончилось копирование или отправка.
Хотя в такую настройку логгирования верится с трудом.
Inanity
BLACK816 Автор
Коллеги, касательно упомянутой статистики и отчетов — поймите правильно, мы никак не можем нести ответственность за их достоверность, правильность методик испытаний и тому подобное. Тут примерно как в суде — «Нет оснований не доверять сотруднику...» и далее по тексту.
Однако, не стоит сбрасывать со счетов и старое правило «дыма без огня не бывает», а также учесть, что некоторые публикации весьма удобно и полезно использовать как инфоповод.
Ничего личного, как говорится. :)
Graphite
Ну вы можете хотя бы проверить качество источников. Как можно доверять тому, кто пишет "в 2016 году невозможно было передавать данные через Атлантику быстрее чем 20 мегабайт в секунду"? Да еще и перепечатывать этот бред.
BLACK816 Автор
В теории — можем. А на практике — зачем? Смысл? К тому же там говорится о средних скоростях на ISP, а не пиковых или минимальных. Кто знает, как долго они вели такой замер? Может им сами ISP сообщили такие данные? Слишком много «может быть», чтобы доверять или не доверять. Но — это инфоповод. Это ключевое.
Graphite
Все это там описано.
Bullshit
WTF? Как вообще такое можно серьезно писать?
Статистика Speedtest.net. Какое отношение статистика средней скорости американских провайдеров домашнего интернета имеет к взлому почтового сервера?
WTF??? Можно ли доверять такому эксперту?
Нет никаких "может быть", есть только куча бреда от явно некомпетентных экспертов. И вы не случайно сослались не заметив — вы взяли и перепечатали своими словами очевидный бред.
Это называется вброс и желтый журнализм. Материал не для хабра, а для Пикабу, РенТВ или местных желтых газет, где-то между "Шок! Трамп оказался внебрачным внуком Киркорова" и "Зачем мы построили пирамиды — откровение жителя планеты Нибиру"
mapatka
Не взлетел ваш блог.
achekalin
Хакер — он много может сделать плохого. Но никак не меньше сделает и обычная уборщица, если у нее есть ключ от серверой (и даже строгий наказ «только у входа подметать, а провода не трогать!»). Потому что она может (за очень денежку от доброго дяди) зайти ночью в серверную, тупо повыдергивать диски из хранилок и серверов, и коробку с ними ночью же вынести за периметр, где и отдать злоумышленнику. Тому всего расхода — оплатить ее безбедную старость, и собрать из дисков что-то читаемое.
Balpak
Настоятельно рекомендую не воспринимать данное «исследование» всерьёз. Последние несколько лет Honeywell активно продвигает свои решения на тему cyber-security, но большинство материалов по теме написано маркетологами, а не инженерами. В итоге подобные страшилки напоминают проблему Y2K, на которой ушлые продавцы срубили сотни нефти на пустом месте.
Учитывая что Honeywell является одним из ключевых поставщиков систем управления технологическими процессами довольно странно видеть рассуждения на тему использования USB в принципе. Решение очевидно — на всех станциях, к которым есть физический доступ заводского персонала, все порты USB должны быть отключены на уровне BIOS и/или средствами групповых политик. И будет всм счастье (ну почти).