Почему ведущие компании в России теряют каждый десятый рубль из-за ошибок и хищений в среде АСУ ТП? Сколько стадионов можно построить на деньги, украденные из российских систем ДБО? Каковы истинные причины начала жесткой борьбы банков с хакерами? Мы продолжаем рассказ о докладах экспертов-практиков, анонсировавших свои выступления на PHDays 2012.
Интересный факт: 1 января 2013 года вступают в силу положения закона о национальной платежной системе. В случае несанкционированного списания денег со счета клиента банк будет обязан вернуть деньги на счет клиента. Иными словами, сейчас деньги воруют у клиентов, а со следующего года начнут воровать у самого банка. Этой причины вполне достаточно, чтобы банковское сообщество объявило крестовый поход против киберпреступников, «работающих» с системами ДБО. Как сделать 2013 и последующие годы несчастливыми для таких хакеров, попытается объяснить Евгений Царев в рамках доклада «Система противодействия фроду по-русски». Он расскажет об особенностях российского мошенничества в банковской сфере и многообразии схем фрода, укажет на причины низкой эффективности западного подхода и продемонстрирует, как необходимо выстраивать комплексную систему защиты.
В военном деле эксфильтрацией называют тактику отступления с территории, находящейся под контролем противника. Правильная маскировка при таких действиях важнее скорости. Хакеры, получив доступ к системе, также не спешат выводить данные. Во-первых, велик риск быть обнаруженным. Во-вторых, необходимая информация может поступить позднее. Поэтому программа злоумышленника отсылает информацию небольшими порциями, используя скрытые каналы, часто вообще не предназначенные для передачи данных. Хорватский разработчик Мирослав Стампар (Miroslav Stampar) в докладе «DNS exfiltration using SQLmap» представит технику DNS-эксфильтрации с помощью SQL-инъекций, расскажет о ее плюсах и минусах, а также проведет наглядные демонстрации.
В докладе Владимира Воронцова «Атаки на веб-клиентов сетей Microsoft» приводятся методы, позволяющие проводить атаки на пользователей браузера Internet Explorer, функционирующих в рамках сетей Microsoft. Рассматриваемые атаки нацелены на получение конфиденциальных данных пользователей, расположенных как на удаленных серверах (обход ограничений политики доступа), так и на локальных ПК.
Проявление интереса злоумышленников к технологическим инфраструктурам и АСУ ТП становится своеобразным трендом. По оценкам экспертов, ведущие российские отраслевые компании теряют до 10% доходов по причинам внутреннего мошенничества, хищений, нарушений при выполнении технологических процессов, ошибок в настройках измерительного оборудования. Специфика устройства АСУ ТП требует формирования принципиально нового технического направления — компьютерной криминалистики (форенсики) в среде промышленных автоматизированных систем.
Кроме того, в докладе Андрея Комарова будут описаны механизмы предотвращения инцидентов в данной области и возможности применения систем Business Assurance Systems (BAS) для предотвращения экономического мошенничества в секторе АСУ ТП (изменение показателей топливно-раздаточных колонок, торговых систем, систем бухгалтерского учета, датчиков резервуаров, систем процессинга топливных и скидочных карт). Доклад будет сопровождаться наглядной демонстрацией практически значимых примеров инцидентов, происходивших в TOP 10 крупнейших индустриальных компаний различных зарубежных государств. Андрей Комаров — руководитель отдела аудита и консалтинга Group-IB. В настоящее время он принимает участие со стороны России в разработке стандарта по проведению тестов на проникновение «Penetration Testing Execution Standard» (PTSE).
Несколько лет подряд наблюдается стремительный рост угроз, нацеленных на российские системы ДБО (Shiz, Carberp, Hodprot, RDPdoor, Sheldor). Злоумышленникам удается похищать десятки миллионов долларов ежемесячно (за год получится сумма, как минимум достаточная для того, чтобы построить, например, стадионы для футбольных клубов «Спартак» и ЦСКА).
При подготовке доклада «Уязвимости смарт-карт с точки зрения современных банковских вредоносных программ» (Smartcard vulnerabilities in modern banking malware) Александр Матросов и Евгений Родионов провели исследование наиболее распространенных банковских вредоносных программ, а также выявили интересные уязвимости при использовании двухфакторной аутентификации и смарт-карт. Кроме того, в докладе рассматриваются приемы и ухищрения злоумышленников, препятствующие проведению криминалистической экспертизы. Александр Матросов является директором Центра вирусных исследований и аналитики компании ESET, а Евгений Родионов занимается в ESET анализом сложных угроз.
За последние пять лет интерес к вопросу безопасности SAP вырос в геометрической прогрессии. В публичном информационном пространстве затрагивалось множество тем, начиная с атак на SAProuter и веб-приложения SAP и заканчивая низкоуровневыми уязвимостями в ядре SAP и ABAP-коде. На данный момент SAP выпустила более 2000 уведомлений о исправлении уязвимостей в своих продуктах, но это только начало. Какие уязвимости остаются в SAP-системах, помимо уже приевшихся XSS, SQL-инъекций и переполнений буфера? Доклад Александра Полякова «Небезопасность SAP: новое и лучшее» будет посвящен десятку наиболее интересных уязвимостей и векторов атак на SAP-системы: от проблем с шифрованием до обходов аутентификации и от забавных ошибок до сложных векторов атак. Немалую часть из представленных в докладе уязвимостей широкая публика увидит впервые.
Александр Поляков — технический директор Digital Security, один из наиболее известных в мире экспертов по безопасности SAP.
Некоторые сторонние реализации PHP позволяют сократить время выполнения сценариев в пять раз. Но способны ли они обеспечить стабильную и безопасную работу веб-приложений? Эксперт компании Positive Technologies Сергей Щербель в докладе «Не все PHP одинаково полезны» озвучит выявленные проблемы безопасности и особенности эксплуатации веб-приложений при использовании сторонних реализаций PHP, а также приведет примеры уязвимостей нулевого дня. Сергей специализируется в вопросах безопасности приложений, тестировании на проникновение, анализе веб-приложений и исходного кода. Входит в команду разработчиков PHDays CTF.
Экс-сотрудник подразделения по борьбе с киберпреступностью СБУ, директор «Айсайт Партнерз Украина» Константин Корсун расскажет о формировании украинского сообщества специалистов в сфере информационной безопасности, прошедшего путь от шумных встреч украинских ИТ-«безопасников» в киевских пабах до регистрации в 2012 году общественной организации «Украинская группа информационной безопасности» (Ukrainian Information Security Group). В настоящее время Константин Корсун является президентом UISG. Его доклад называется «Сообщество профессионалов информационной безопасности Украины UISG. Достижения и перспективы».
Тему PHP продолжит Алексей Москвин, эксперт по безопасности Positive Technologies. В докладе «О безопасном использовании PHP wrappers» будут рассмотрены уязвимости, связанные PHP wrappers. Подобные уязвимости обсуждаются достаточно давно. Ссылки на них присутствуют в OWASP TOP 10 и WASC TCv2. Однако ряд особенностей некоторых «врапперов» и фильтров приводит к тому, что даже приложения, разработанные с учетом требований безопасности, могут содержать уязвимости (включая критические).
В докладе будут рассмотрены алгоритмы, которые позволяют передавать приложению данные, не предусмотренные логикой работы. Такой подход может использоваться для обхода Web Application Firewalls, встроенных в приложение фильтров безопасности, а также для реализации атак, связанных с несанкционированным доступом к файловой системе, и выполнением произвольного кода. Будут представлены примеры уязвимостей нулевого дня, обнаруженные с помощью предложенной в исследовании методики.
Алексей специализируется на вопросах статического и динамического анализа исходного кода приложений с точки зрения безопасности; входит в команду разработчиков PHDays CTF.
Идет время, технологии разработки развиваются, код становится все сложней (virtual function, JIT-code и т. д.). Статически анализировать такой код чрезвычайно сложно. На помощь исследователю приходят различные техники инструментации кода. Библиотеки PIN, Valgrind, DynamoRIO, DynInst — это новый обязательный элемент в арсенале исследователя безопасности. О существующих способах инструментации (исходного кода, байт-кода, бинарного кода) расскажет Дмитрий Евдокимов в докладе «Light and Dark Side of Code Instrumentation».
Дмитрий Евдокимов — ведущий рубрики «Security-soft» в российском хакерском журнале «Xakep», эксперт по безопасности SAP в областях внутреннего устройства (SAP Kernel и SAP Basis) и ABAP-кода.
Особенности борьбы с русским фродом
Интересный факт: 1 января 2013 года вступают в силу положения закона о национальной платежной системе. В случае несанкционированного списания денег со счета клиента банк будет обязан вернуть деньги на счет клиента. Иными словами, сейчас деньги воруют у клиентов, а со следующего года начнут воровать у самого банка. Этой причины вполне достаточно, чтобы банковское сообщество объявило крестовый поход против киберпреступников, «работающих» с системами ДБО. Как сделать 2013 и последующие годы несчастливыми для таких хакеров, попытается объяснить Евгений Царев в рамках доклада «Система противодействия фроду по-русски». Он расскажет об особенностях российского мошенничества в банковской сфере и многообразии схем фрода, укажет на причины низкой эффективности западного подхода и продемонстрирует, как необходимо выстраивать комплексную систему защиты.DNS-эксфильтрация данных с помощью SQLmap
В военном деле эксфильтрацией называют тактику отступления с территории, находящейся под контролем противника. Правильная маскировка при таких действиях важнее скорости. Хакеры, получив доступ к системе, также не спешат выводить данные. Во-первых, велик риск быть обнаруженным. Во-вторых, необходимая информация может поступить позднее. Поэтому программа злоумышленника отсылает информацию небольшими порциями, используя скрытые каналы, часто вообще не предназначенные для передачи данных. Хорватский разработчик Мирослав Стампар (Miroslav Stampar) в докладе «DNS exfiltration using SQLmap» представит технику DNS-эксфильтрации с помощью SQL-инъекций, расскажет о ее плюсах и минусах, а также проведет наглядные демонстрации.Методы проникновений через браузер Internet Explorer
В докладе Владимира Воронцова «Атаки на веб-клиентов сетей Microsoft» приводятся методы, позволяющие проводить атаки на пользователей браузера Internet Explorer, функционирующих в рамках сетей Microsoft. Рассматриваемые атаки нацелены на получение конфиденциальных данных пользователей, расположенных как на удаленных серверах (обход ограничений политики доступа), так и на локальных ПК.Расследование инцидентов ИБ в среде АСУ ТП (SCADA Forensics)
Проявление интереса злоумышленников к технологическим инфраструктурам и АСУ ТП становится своеобразным трендом. По оценкам экспертов, ведущие российские отраслевые компании теряют до 10% доходов по причинам внутреннего мошенничества, хищений, нарушений при выполнении технологических процессов, ошибок в настройках измерительного оборудования. Специфика устройства АСУ ТП требует формирования принципиально нового технического направления — компьютерной криминалистики (форенсики) в среде промышленных автоматизированных систем. Кроме того, в докладе Андрея Комарова будут описаны механизмы предотвращения инцидентов в данной области и возможности применения систем Business Assurance Systems (BAS) для предотвращения экономического мошенничества в секторе АСУ ТП (изменение показателей топливно-раздаточных колонок, торговых систем, систем бухгалтерского учета, датчиков резервуаров, систем процессинга топливных и скидочных карт). Доклад будет сопровождаться наглядной демонстрацией практически значимых примеров инцидентов, происходивших в TOP 10 крупнейших индустриальных компаний различных зарубежных государств. Андрей Комаров — руководитель отдела аудита и консалтинга Group-IB. В настоящее время он принимает участие со стороны России в разработке стандарта по проведению тестов на проникновение «Penetration Testing Execution Standard» (PTSE).
Уязвимости в смарт-картах: цена вопроса
Несколько лет подряд наблюдается стремительный рост угроз, нацеленных на российские системы ДБО (Shiz, Carberp, Hodprot, RDPdoor, Sheldor). Злоумышленникам удается похищать десятки миллионов долларов ежемесячно (за год получится сумма, как минимум достаточная для того, чтобы построить, например, стадионы для футбольных клубов «Спартак» и ЦСКА).
При подготовке доклада «Уязвимости смарт-карт с точки зрения современных банковских вредоносных программ» (Smartcard vulnerabilities in modern banking malware) Александр Матросов и Евгений Родионов провели исследование наиболее распространенных банковских вредоносных программ, а также выявили интересные уязвимости при использовании двухфакторной аутентификации и смарт-карт. Кроме того, в докладе рассматриваются приемы и ухищрения злоумышленников, препятствующие проведению криминалистической экспертизы. Александр Матросов является директором Центра вирусных исследований и аналитики компании ESET, а Евгений Родионов занимается в ESET анализом сложных угроз.Новые и популярные способы взлома SAP
За последние пять лет интерес к вопросу безопасности SAP вырос в геометрической прогрессии. В публичном информационном пространстве затрагивалось множество тем, начиная с атак на SAProuter и веб-приложения SAP и заканчивая низкоуровневыми уязвимостями в ядре SAP и ABAP-коде. На данный момент SAP выпустила более 2000 уведомлений о исправлении уязвимостей в своих продуктах, но это только начало. Какие уязвимости остаются в SAP-системах, помимо уже приевшихся XSS, SQL-инъекций и переполнений буфера? Доклад Александра Полякова «Небезопасность SAP: новое и лучшее» будет посвящен десятку наиболее интересных уязвимостей и векторов атак на SAP-системы: от проблем с шифрованием до обходов аутентификации и от забавных ошибок до сложных векторов атак. Немалую часть из представленных в докладе уязвимостей широкая публика увидит впервые.Александр Поляков — технический директор Digital Security, один из наиболее известных в мире экспертов по безопасности SAP.
С PHP поспешишь — людей насмешишь
Некоторые сторонние реализации PHP позволяют сократить время выполнения сценариев в пять раз. Но способны ли они обеспечить стабильную и безопасную работу веб-приложений? Эксперт компании Positive Technologies Сергей Щербель в докладе «Не все PHP одинаково полезны» озвучит выявленные проблемы безопасности и особенности эксплуатации веб-приложений при использовании сторонних реализаций PHP, а также приведет примеры уязвимостей нулевого дня. Сергей специализируется в вопросах безопасности приложений, тестировании на проникновение, анализе веб-приложений и исходного кода. Входит в команду разработчиков PHDays CTF.Кибербезопасность по-украински
Экс-сотрудник подразделения по борьбе с киберпреступностью СБУ, директор «Айсайт Партнерз Украина» Константин Корсун расскажет о формировании украинского сообщества специалистов в сфере информационной безопасности, прошедшего путь от шумных встреч украинских ИТ-«безопасников» в киевских пабах до регистрации в 2012 году общественной организации «Украинская группа информационной безопасности» (Ukrainian Information Security Group). В настоящее время Константин Корсун является президентом UISG. Его доклад называется «Сообщество профессионалов информационной безопасности Украины UISG. Достижения и перспективы». О безопасном использовании PHP wrappers
Тему PHP продолжит Алексей Москвин, эксперт по безопасности Positive Technologies. В докладе «О безопасном использовании PHP wrappers» будут рассмотрены уязвимости, связанные PHP wrappers. Подобные уязвимости обсуждаются достаточно давно. Ссылки на них присутствуют в OWASP TOP 10 и WASC TCv2. Однако ряд особенностей некоторых «врапперов» и фильтров приводит к тому, что даже приложения, разработанные с учетом требований безопасности, могут содержать уязвимости (включая критические).
В докладе будут рассмотрены алгоритмы, которые позволяют передавать приложению данные, не предусмотренные логикой работы. Такой подход может использоваться для обхода Web Application Firewalls, встроенных в приложение фильтров безопасности, а также для реализации атак, связанных с несанкционированным доступом к файловой системе, и выполнением произвольного кода. Будут представлены примеры уязвимостей нулевого дня, обнаруженные с помощью предложенной в исследовании методики.
Алексей специализируется на вопросах статического и динамического анализа исходного кода приложений с точки зрения безопасности; входит в команду разработчиков PHDays CTF.
Способы инструментации для анализа сложного кода
Идет время, технологии разработки развиваются, код становится все сложней (virtual function, JIT-code и т. д.). Статически анализировать такой код чрезвычайно сложно. На помощь исследователю приходят различные техники инструментации кода. Библиотеки PIN, Valgrind, DynamoRIO, DynInst — это новый обязательный элемент в арсенале исследователя безопасности. О существующих способах инструментации (исходного кода, байт-кода, бинарного кода) расскажет Дмитрий Евдокимов в докладе «Light and Dark Side of Code Instrumentation».
Дмитрий Евдокимов — ведущий рубрики «Security-soft» в российском хакерском журнале «Xakep», эксперт по безопасности SAP в областях внутреннего устройства (SAP Kernel и SAP Basis) и ABAP-кода.
