Архив метки: НДВ

Закладка в прошивке светодиодной гирлянды

Закладка в прошивке светодиодной гирлянды

Закладка в прошивке светодиодной гирлянды. Некоторые любители прекрасного любят выставлять у себя из окна светодиодные DIY-гирлянды, на которых можно отображать разнообразные эффекты и надписи. Довольно эффектная штука. Но оказалось, что в прошивке для популярного проекта такой гирлянды была закладка. В полночь 1 января поверх всех эффектов начал отображаться запрещённый в России лозунг. На хозяев одной из украшенных квартир составили протокол о дискредитации ВС РФ.

Как закладка попала в код? Автор проекта пишет на форуме "я не являюсь автором данной прошивки". 🤷‍♂️ Настоящим автором прошивки является человек из сопредельного враждебного государства. Код на наличие закладок толком не проверяли. 🤦‍♂️

Это к слову о контроле над open source кодом и принципе "тысячи глаз". Используя open source код, за которым НЕ стоит внушающая доверие репутация организации или человека, задавайте себе вопрос "а что будет, если туда всё-таки заложили что-то зловредное?"

Прожектор по ИБ, выпуск №2 (10.09.2023)

Прожектор по ИБ, выпуск №2 (10.09.2023). Вчера вечером записали ещё один эпизод нашего новостного ток-шоу по ИБ. Компания у нас всё та же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Вступление
01:08 Что случилось с бюджетами CISO? Обсуждаем опросы и исследования по ИБ
10:36 Байкалы выставлены на аукцион? Что с отечественными процессорами?
16:39 Atomic Heart в контексте ИБ. Впечатления от игры и книги Предыстория «Предприятия 3826»
26:39 Р-ФОН, ОС Аврора и "понты нового времени"
36:48 Утечка из МТС Банка?
45:04 Мошенники размещают QR-коды возле школ
50:18 Qualys TOP 20 эксплуатируемых уязвимостей
54:18 Прощание от Mr. X

Ещё про Atomic Heart

Ещё про Atomic Heart

Ещё про Atomic Heart.

> Не удивлюсь, если по этой вселенной будут книги выходить, я их даже почитаю. 🙂

Сказано - сделано. Дочитал Предысторию «Предприятия 3826». По ощущениям ~ 6,5 из 10. Не шедевр, но общие впечатления скорее приятные. Стиль изложения нарочито упрощённый, комиксовый. Когда описываются операции отряда "Аргентум", очень похоже на этаких советских X-Men-ов с Ксавье-Сеченовым. 😆 Но может такой и должна быть книга, раскрывающая лор шутера? 🙂

Моя любимая тема из игры, про то как альтернативный Советский Союз массово поставляет в альтернативные США условно бесплатных строительных роботов, содержаших недекларируемые боевые возможности, чтобы в один момент использовать их для захвата американских атомных объектов, в книге раскрыта более подробно. Например, там есть пресс-конференция на которой Сеченов и Молотов приводят аргументы по поводу безопасности роботов:

1. "Весь мир использует советских роботов почти десять лет, и до сих пор с ним ничего не случилось."
2. "Прежде чем заключить с СССР контракт на поставку, каждая страна тщательно изучает не только предоставленную нами техническую документацию, но и непосредственно образцы самих изделий. Если бы таковые изделия содержали в себе хотя бы намёк на возможность боевого применения, разве спецслужбы и прочие компетентные органы всех этих стран позволили бы появление на территории своих государств столь опасных изделий? Или вы не доверяете собственным спецслужбам?"
3. "И на практике описанные вами сбои [речь про "восстание машин"] в работе советского ПО исключены абсолютно. Повторюсь: это невозможно в принципе!"
4. "СССР никому не навязывает своё программное обеспечение. Любая страна, если она не доверяет нашим программистам, может полностью удалить советское ПО и установить на робота собственное." Потому что закладка не на уровне ПО 🙂.

Очень похожую аргументацию можно слышать от западных вендоров программных и аппаратных продуктов. Ну что вы, какие закладки. Абсолютно исключено. 😉

Ну и, как нам известно из первого DLC "Инстинкт Истребления", альтернативному СССР таки удалось этот план захвата объектов реализовать. 😏

Вторая тема это то, что было причиной инцидента на Предприятии 3826, почему собственно все роботы взбунтовались. По книге это результат заговора четырёх инженеров, которые ввели "в заблуждение систему безопасности «Коллектива 1.0», одновременно послав на все основные «Узлы» наших объектов сообщение о вражеском нападении".

"— И это привело к такому вот эффекту? — Полковник указал на карту «Предприятия 3826», изобилующую отметками «Узлов», перешедших в режим блокировки.
— Не совсем. — Сеченов печально нахмурился. — «Коллектив 1.0», одновременно получив от всех своих дежурных инженеров сообщение о начавшейся войне, перешёл в режим самообороны. Но у каждого дежурного инженера в затылок имплантирована микросхема с экстренными кодами на случай войны. Воспользоваться ими в мирное время нельзя, а вот в режиме военного времени «Узлы» сами обратились к операторам за указанием целей, чтобы понять, кто является агрессором. И предатели обозначили в качестве целей весь гражданский персонал «Предприятия 3826», кроме самих себя, после чего посредством заложенных в микросхему кодов военного времени заблокировали «Узлы» для связи извне. Снять блокаду можно только изнутри, с пульта дежурного инженера."

Парам-пам-пам. Система безопасности, позволяющая четырем инсайдерам произвольно определять цели для масштабного экстерминатуса. Казалось бы бред, но, с другой стороны, в реальных системах ИБ иногда обнаруживается и не такое. 😁

Про компьютерную игру Atomic Heart в контексте ИБ

Про компьютерную игру Atomic Heart в контексте ИБ. Посмотрел на выходных полное прохождение. Некоторые особенно крутые локации даже в нескольких прохождениях. Это, безусловно, веха в отечественном игростроении и большое культурное событие. Стартовая локация настоящее произведение искусства. Очень детализированная, щедро наполнена контентом. Из того, что особенно запомнилось это милая отсылка к Рэсси из Электроника и трогательная сцена с ветераном у вечного огня. Ну и основное это то, что все отсылки к нашему советскому/постсоветсткому культурному коду, поэтому выстреливают на все 100. Конечно, хотелось бы чтобы вся игра была про блуждание по городу из стартовой локации, но это невозможно. Слишком дорого. И по жанру это все-таки стрелялка с головоломками. Пишут, что это аналог BioShock, с которым я не знаком. Мне же напомнило Half-Life или Portal. Записки и аудиозаписи, на которые натыкается главный герой заставили вспомнить приколы из начала нулевых, типа Хроники лаборатории/диверсантов. Юмора в меру. 🙂 Матюков больше меры, но как уж есть.

То, что можно отнести к ИБ, но это СПОЙЛЕРЫ. Рекомендую прочитать после того как полностью зацените игру:

В общем, мне понравилось. Молодцы авторы, что умудрились все-таки не склепать агитку (которая напрашивалась). Долголетия франшизе. Старт мощный. Не удивлюсь, если по этой вселенной будут книги выходить, я их даже почитаю. 🙂

Результаты тестирования обновлений безопасности

Результаты тестирования обновлений безопасностиРезультаты тестирования обновлений безопасности

Результаты тестирования обновлений безопасности уже доступны на сайте БДУ ФСТЭК. Вкладка Уязвимости -> Тестирование обновлений. Пишут, что "в настоящее время проводится опытная эксплуатация раздела". Это результаты работ по той самой госзакупке? Не знаю, но судя по таймингу тестирований вполне возможно.

1. Всего 112 обновлений протестировано.
2. Скачать весь фид целиком похоже пока нельзя. По кнопке "скачать" скачивается только текущая страница.
3. Первое тестирование от 28.08.2022, последнее тестирование от 24.12.2022.
4. Похоже, что обновления пока только Microsoft-овские.
5. Для обновления доступно его наименование, ссылка на описание, ссылка на файл-обновления, хеши, дата выпуска обновления, вендор, ПО, версии уязвимого ПО, версии тестируемого ПО, идентификаторы БДУ, идентификаторы CVE, вердикт.
6. Возможные значения для вердикта: "Влияние на инфраструктуру отсутствует", "Может оказать некритичное влияние на инфраструктуру", "Выявлено деструктивное воздействие на инфраструктуру".
7. Пока для всех тестов вердикт "Влияние на инфраструктуру отсутствует".

Теперь перед раскаткой обновления можно/нужно поглядывать на его вердикт в БДУ. Как это делать удобно и автоматизированно пока не особо понятно, но какой-то ручной процесс уже можно выстраивать. И это несоизмеримо проще, чем делать полноценное тестирование обновлений своими силами по методике. Ура!

Начнем про "Методику тестирования обновлений безопасности программных, программно-аппаратных средств" от ФСТЭК

Начнем про "Методику тестирования обновлений безопасности программных, программно-аппаратных средств" от ФСТЭК. Часть 1. Признаки добавления НДВ.

В методике есть перечень признаков того, что вендор принес зловредную функциональность вместе с обновлениями. 6 пунктов, в целом весьма неплохие.

"2.3. Для целей настоящей Методики к признакам недекларированных ​возможностей обновлений безопасности относятся:
​а) попытки обращений к файловой системе, базам данных, электронной ​почте и другой информации, не имеющие отношения к функционалу обновляемых ​программных, программно-аппаратных средств;
​б) недокументированные обращения к сторонним (неизвестным оператору) сетевым адресам и доменным именам, не относящимся к оператору ​информационной системы;
​в) системные вызовы, характерные для вредоносного программного обеспечения (например, попытки загрузки из сети «Интернет» библиотек и программных пакетов, не имеющих отношения к функционалу программного ​обеспечения, попытки перехвата сетевого трафика другого программного ​обеспечения, попытки мониторинга действий пользователей с другим ​программным обеспечением);
​г) потенциально опасные изменения в файловой системе в результате ​установки обновления, в том числе загрузка и установка недокументированных ​программного обеспечения, драйверов и библиотек, не имеющих отношения к ​функционалу обновляемого программного, программно-аппаратного средства;
​д) изменения конфигурации среды функционирования, не имеющие ​отношения к обновляемому программному, программно-аппаратному средству ​(например, появление новых автоматически загружаемых программ);
​е) отключение средств защиты информации и функций безопасности ​информации."

Для совсем вопиющих случаев может сработать. Но не панацея конечно. Вот например "недокументированные обращения к сторонним сетевым адресам и доменным именам". Вендор-злодей может нагло отплевывать критичные пользовательские данные непосредственно на официальный evilvendor(.)com под видом телеметрии и определить, что это активность зловредная надо будет постараться.