Архив: 27.11.2018

Определитесь с обновлением ПО

Больше всего шума в 2017 году наделали вирусы WannaCry и Petya. Они использовали схожие уязвимости, поэтому пример WannaCry можно считать типичным для обоих зловредов.

WannaCry был одной из самых массовых атак 2017 года: по оценке Европола, ей подверглись около 200 тыс. компьютеров в 150 странах. Для атаки на столь большое число целей не нужна армия программистов, достаточно одной уязвимости, которой будет подвержено множество пользователей и компаний. Чтобы атака смогла стать массовой, уязвимость, которой она пользуется, должна присутствовать в массово используемом продукте. Например, в операционной системе (ОС). В случае с WannaCry злоумышленники использовали уязвимость в ОС Microsoft Windows, а конкретно – в протоколе удаленного доступа под названием SMBv1. Данный протокол применялся в очень большом спектре ОС – от Windows XP до Windows 10. WannaCry блокировал ОС пользователя и вымогал у него деньги в биткоинах.

Здесь мы подходим к сути проблемы. Еще 14 марта 2017 года, за три месяца до массовой атаки, Microsoft выпустила обновление, устраняющее уязвимость в протоколе SMBv1. Однако установили его далеко не все.

Обновления ПО выходят постоянно: на ОС, на прикладное ПО, на оборудование и т. д. Можно сказать, что они сыпятся как из рога изобилия. Однако зачастую пользователи не спешат их устанавливать. Причина не только в лени или забывчивости, а в том числе в желании проверить, не сломает ли обновление что-то критически важное в компании. Ведь если IT-специалист бездумно будет ставить все обновления подряд, это может привести к серьезным последствиям для любой компании, зависимой от IT-систем. Так что же делать?

Если вы аудитор, владелец или просто ключевой пользователь IT-системы, поинтересуйтесь у ответственных за нее IT-специалистов, как часто ставятся все требуемые обновления для вашей системы. И есть ли среди неустановленных обновлений относящиеся к информационной безопасности.

Совет № 1: потратьте час времени и совместно с IT-специалистом разработайте подход к установке обновления ПО и всех поддерживающих его систем так, чтобы не пострадали ваши бизнес-процессы, а ваша система максимально оперативно получала все обновления информационной безопасности. В компании должен быть процесс установки обновлений ПО и операционных систем с указанием владельца процесса, ответственных за установку обновлений и контроль установки обновлений, а также четкие временные рамки установки обновлений в зависимости от степени критичности информационных систем и сервисов.

Проверяйте внешние порты

WannaCry и Petya наделали много шума как в компаниях, так и в СМИ. Но часто самыми опасными являются не те атаки, которые сразу заметил весь мир, а те, что остаются незамеченными. Одним из видов хакерской атаки является получение доступа (естественно, никем не санкционированного) к IT-системам компании. Что может делать с этим доступом злоумышленник? В сущности, всё что угодно. В случае с банками – получить полный доступ к счетам, персональным данным и другой информации клиентов, которая хранится в базах данных компании.

Есть множество подходов к тому, как злоумышленники получают данный доступ. Мы остановимся на подходе, который для злоумышленника имеет широкий охват и часто не требует большого количества усилий. Это мониторинг специфических сетевых портов. И в случае, если они открыты, попытки с их помощью получить доступ к информационным системам.

Как ведут себя злоумышленники? Есть множество сервисов, позволяющих проверить, открыты ли порты, используемые для управления системами и сервисами (например, SSH (порт 22), TELNET (порт 23), RDP (порт 3389)). Пример подобного сервиса. Это что-то вроде Google, только о сетевых портах, типах используемого оборудования, наименованиях и версиях используемого ПО.

Помимо этого, в свободном бесплатном доступе находятся инструменты для тестирования информационных систем и сервисов компаний на уязвимости. Стоит отметить, что порог начального вхождения в данную область крайне низкий и не требует проведения специальной подготовки, что позволяет потенциальному злоумышленнику приступить к возможному осуществлению своих злонамеренных действий сразу же после установки специализированного ПО.

Примером таких инструментов являются популярные среди специалистов по практической информационной безопасности дистрибутивы операционных систем с предустановленным и настроенным программным обеспечением (например, Kali Linux, BlackArch Linux, ParrotSec), а также отдельные инструменты хакерских группировок, которые стали доступны широкой общественности. Например, набор специализированного ПО, созданного группировкой Equation Group, включающий различные инструменты для получения доступа к сетевому оборудованию, операционным системам и сервисам.

Зачем злоумышленнику знать, какие порты у вас открыты? Если, например, открыт порт SSH, можно «натравить» на него программу подбора пароля. Данная программа будет бесконечно подбирать пароль к какой-нибудь учетной записи, например admin. И как только пароль будет подобран – путь открыт. Дальнейшие выгоды для взломщика и, соответственно, ущерб для жертвы будут зависеть от профессионализма и желаний злоумышленника.

Помимо учетных записей администраторов, лакомой целью для злоумышленника может являться получение доступа к технологическим учетным записям, часто имеющим широкие полномочия. Но контроль за ними значительно ниже.

Совет № 2: попросите IT-специалистов (и убедитесь в этом сами) выполнить следующие пять базовых условий:

• Недоступны из Интернета порты, используемые для удаленного управления системами и сервисами (например, 22-, 23-, 3389-порты). Если же по какой-то причине доступ необходим, переопределите порт доступа со стандартного на любой другой. Например, переконфигурируйте службу SSH со стандартного порта 22 на порт 2220 и/или перейдите на использование ключей доступа вместо паролей. В этом случае количество автоматических переборов паролей резко уменьшится.
• Сетевое оборудование, обеспечивающее доступ из/в Интернет сконфигурировано корректно. То есть сотрудники IT и информационной безопасности четко понимают, для каких целей, по какой заявке и кем было создано правило пропуска трафика из/в корпоративную сеть компании.
• В информационной системе нет неизвестных/уволенных пользователей, особенно с административными правами.
• Изменены и регулярно обновляются пароли на учетных записях администраторов, согласно парольной политике компании, а в идеале используются выделенные учетные записи для задач администрирования (например, ivanov_adm, petrov_adm).
• Заблокировано использование технологических учетных записей пользователями (например, пользователь не может войти в систему с использованием технологической учетной записи).

Разберитесь с подрядчиками

Почти в каждой компании уже есть хорошо организованные и удобные «ворота» в информационные системы. Они используются для систем, которые поддерживаются не внутри самой компании, а внешними подрядчиками. Довольно удобным вариантом для атаки может служить использование легитимных доступов ваших поставщиков IT-решений, то есть компаний, предоставляющих услуги технической поддержки, сопровождения информационных систем и сервисов.

Часто, даже заметив, что пользователь делает какие-то необычные действия, администратор может списать это на работы по поддержке IT-системы. В качестве примера вернемся к кибератаке Petya. В ходе этой атаки злоумышленники сначала взломали крупного поставщика ПО, а уже затем, пользуясь его легальным каналом, атаковали банки и другие организации. Аналогичный случай произошел в середине декабря – атака осуществлялась через популярную систему SWIFT.

Совет № 3: для минимизации данного риска необходимо четко и в любой момент быть готовым ответить самому себе на три стандартных вопроса:

1.  Кто к нам подключается?

Для ответа на этот вопрос необходимо наладить процесс управления учетными записями сотрудников внешней технической поддержки. В том числе:

— использовать ограниченный срок действия учетных записей;

— ввести ответственность руководителей IT-подразделений за контроль действий данных сотрудников;

— своевременно информировать о необходимости блокировки учетных записей аутсорсеров/подрядчиков в случае их увольнения.

2.  Когда к нам подключаются?

Имеет смысл внедрить систему управления работами подрядчиков и предоставлять им доступ в корпоративную сеть только при необходимости решения инцидентов или проведения плановых работ.

3.  Как к нам подключаются?

Можно внедрить механизм двухфакторной аутентификации для внешних подключений в корпоративную сеть компании. В этом случае, помимо использования стандартного механизма аутентификации (логин/пароль/сертификат), сотруднику внешней технической поддержки необходимо будет вводить одноразовый пароль, который он получает, например, с помощью СМС-сообщения.

Протестируйте своих сотрудников

Какими бы совершенными ни были системы и процессы обеспечения ИБ, самым уязвимым местом является конечный пользователь – сотрудник компании. Стоит ему лишь однажды допустить ошибку и открыть файл в письме или перейти по вредоносной ссылке, и риск возникновения инцидента ИБ, а в конечном счете взлома информационной системы значительно возрастает. Поэтому проблематика обеспечения информационной безопасности компании должна быть делом каждого сотрудника, а не только специалистов по IT или ИБ.

Совет № 4: необходимо наладить в компании два ключевых механизма. Во-первых, информировать сотрудников об актуальных угрозах и методах работы злоумышленников. Во-вторых, регулярно тестировать уровень осведомленности сотрудников по вопросам обеспечения ИБ. В качестве такого тестирования могут быть использованы следующие методы:

• e-mail-рассылка, имитирующая действия злоумышленников и направленная на запуск файлов во вложении;
• использование методов социальной инженерии для получения данных аутентификации пользователей (логин/пароль) в информационных системах;
• любые другие имитации актуальных угроз ИБ.

Как и в жизни, в современных информационных технологиях самые простые ошибки зачастую являются самыми массовыми и опасными. Прежде чем вкладывать огромные деньги в новые системы информационной безопасности, научите своих IT-специалистов уделять внимание простым и базовым вещам. Ведь если у информационной безопасности нет хорошего фундамента, то нет смысла выстраивать на нем сложные многоуровневые системы защиты.

Генеральная прокуратура штата Нью-Йорк опубликовала отчет «Инициатива целостности виртуальных рынков», в котором представлены ее выводы о положении дел у 9 криптовалютных бирж, запросы к которым были направлены в апреле этого года: Bitfinex, bitFlyer USA, Bitstamp, Bittrex, Coinbase, Gemini Trust Company, itBit, Poloniex и Tidex – а также открывшейся в июле платформы HBUS.

Авторы доклада отмечают, что несколько бирж криптовалют сообщили прокуратуре о невозможности отслеживания или предотвращения манипуляций, осуществляемых на множестве платформ, что ограничивает способность бирж до «контроля за злоупотреблениями» в пределах собственных площадок. В документе также говорится, что такие биржи, как Gemini, ищут способы более эффективного мониторинга рынка, «а некоторые платформы действительно предпринимают меры, чтобы улучшить наблюдение», сообщает Ttrcoin.

Прокуратура также обнаружила, что некоторые биржи способны измерить, какая часть их объема торгов исходит от их собственных операций. Circle сообщила, что совершает менее 1% сделок на Poloniex, а BitFlyer USA проводит около 10% самостоятельно. «Coinbase раскрыла информацию о том, что почти 20% объема на ее платформе связано с ее собственным трейдингом».

Авторы документа отдельно выделяют биржу Kraken, которая отказалась сотрудничать и публично раскритиковала инициативу. В заявлении Kraken сообщила, что рыночные манипуляции «не волнуют большинство криптовалютных трейдеров», хотя и признала, что «мошеннические схемы свирепствуют в этой индустрии».

Представители американской компании Coinbase отрицают обвинения генеральной прокуратуры штата Нью-Йорка, согласно которым на долю их аккаунта приходится порядка 20% от общего числа транзакций платформы.

Глава юридического отдела криптовалютной биржи Coinbase Майк Лемпрес пояснил, что предположения прокуратуры стали причиной публикации искаженной информации о бизнесе компании в СМИ, сообщает Ttrcoin. При этом он заявил, что Coinbase не занимается «торговлей в интересах компании на индивидуальных началах».

Лемпрес добавил, что Coinbase приветствует контроль и продолжит сотрудничать с регуляторами для продвижения криптовалютной экосистемы.

Американские законодатели в открытом письме, направленном членами Конгресса Дэвидом Швейкертом, Дарином Лахудом, Бредом Уэнстрапом, Кевином Брейди и Линн Дженкинс в адрес действующего комиссара IRS Дэвида Кааттера, призвали Налоговое управление США (IRS) опубликовать более четкое и «полное» руководство по налогообложению криптовалют.

Члены Палаты представителей полагают, что у IRS было «более чем достаточно времени», чтобы разобраться со всеми нюансами, после того как 4 года назад ведомство утвердило предварительные правила, действующие по сей день. Согласно этим правилам, оформленным в марте 2014 года, в целях налогообложения криптовалюты рассматриваются как собственность, сообщает Тtrcoin.

Законодатели заявляют, что IRS продолжает активно напоминать налогоплательщикам об ответственности, которая будет возложена на них за неподчинение правилам, но в то же время не разрабатывает более полноценную нормативно-правовую основу, что в свою очередь «чрезвычайно ограничивает возможности налогоплательщиков» по соблюдению требований.

Криптовалютная биржа Binance анонсировала запуск бета-версии рейтинговой платформы Info 2.0, собирающей данные о блокчейн-проектах от более чем 50 агентств и СМИ. 

При этом, кроме базовой информации по каждому проекту, включающую в себя white paper, количество выпущенных токенов, графики, на платформе добавлен новый список отчетов, который включает рейтинговые отчеты, обзоры исследовательских организаций, инвесторов, СМИ и ключевых лидеров мнений, сообщает ForkLog.

Прокуратура Южного округа Сеула обвинила двух руководителей южнокорейской биржи Coinnest в получении взятки в обмен на листинг монеты.

По данным местных СМИ, исполнительному и операционному директорам криптобиржи Coinnest были переданы взятки на общую сумму в 1 млрд иен (приблизительно 890 тысяч долларов) представителями проекта, желающими «протолкнуть» в листинг Coinnest так называемый S-coin, сообщает ForkLog. Директору проекта также было представлено обвинение.

При этом факт получения взятки со стороны Coinnest подкрепляется отсутствием проведения процедур по изучению технических особенностей S-coin перед ее включением в листинг.

Финансовый управляющий экс-предправления Татфондбанка Роберта Мусина сообщил о поступлении требований банка на 21,5 млрд рублей.

При этом в требования вошли хищения имущества по кредитным договорам; путем выдачи кредитов компаниям, входящих в DOMO; путем получения денег в кредит ООО «Аида и Д», сообщает TatCenter.

Судебное заседание по рассмотрению отчета о результатах реализации имущества Мусина назначено на 25 декабря 2018 года.

Запущен пятый поток программы Blockchain Lawyers, направленной на обучение навыкам работы с различными аспектами блокчейна, криптовалют и ICO, для блокчейн-юристов при поддержке Госдумы РФ.

В ходе занятий слушатели будут изучать основы терминологии и ее применение, рынка ценных бумаг и права электронной коммерции в сфере применения блокчейна, криптовалют и ICO, говорится на сайте программы.

Основатели курса:

• Судец Игорь – директор образовательной программы, член экспертного совета Государственной Думы  по цифровой экономике и блокчейн-технологиям;
• Сурова Надежда – член экспертного совета Государственной Думы по цифровой экономике и блокчейн-технологиям;
• Журавлев Александр – управляющий партнер ООО «ЭБР», Член Ассоциации Юристов России;
• Агаронов Денис – член экспертного совета Государственной Думы по цифровой экономике и блокчейн технология

Петр Авен избран председателем Совета директоров Альфа-Банка. Решение принято на состоявшемся 26 сентября 2018 года заседании Совета директоров Альфа-Банка.

В состав Совета директоров, который был переизбран 18 сентября на внеочередном собрании акционеров, входят: Петр Авен, Эндрю Бакстер, Владимир Верхошинский, Андрей Косогов, Артем Леонтьев, Алексей Марей, Олег Сысуев, Михаил Фридман и Оскар Хартманн.

Прошедшие программы «Утро с Банкиром»

Все эфиры.