Компания Digital Security представила прогноз основных угроз и тенденций в сфере ИБ в 2015 году. Уязвимости в ПО прокомментировал Дмитрий Евдокимов, директор исследовательского центра Digital Security.
Конец 2014 года ознаменовался рядом громких уязвимостей (Hearbleed, Shellshock, POODLE) в распространенном и давно разрабатываемом программном обеспечении с открытым кодом. Значительная часть такого ПО создавалась в 80-90 годы без заботы о безопасности, поэтому содержит множество проблем. Сегодня подобные разработки используются как часть больших программных комплексов, что позволяет применять содержащиеся в них уязвимости при реализации многоуровневых атак. Такие атаки будут популярны в 2015 году.
Еще одной важной тенденцией в поиске проблем безопасности Дмитрий Евдокимов назвал использование вспомогательных аппаратных (цифровых и аналоговых) средств. Таким образом, мы еще больше приблизимся к обнаружению низкоуровневых уязвимостей и уязвимостей на уровне железа.
«В 2015 году станет актуальнее проблема безопасности фреймворков. Причем речь идет о фреймворках как для кроссплатформенной разработки, так и для решения конкретных задач. Аналогичная ситуация и с библиотеками — она сложилась уже в конце 2014, и в основном связана с передачей информации в открытом виде или с возможностью проведения MiTM-атаки», — сказал Дмитрий Евдокимов.
Большое количество нововведений для самых распространенных мобильных ОС (iOS, Android) повлечет за собой распространение новых проблем безопасности. Особо стоит отметить, что в iOS добавили опцию разработки программ на языке Swift, а в Android постепенно начинают переход на новое окружение выполнения — ART. Также в iOS 8 впервые появилась возможность (app extensions) достаточно гибко взаимодействовать с приложениями на устройстве.
«Сколько из-за этого было уязвимостей в Android-приложениях, мы все хорошо знаем, а вот как эту опцию будут использовать разработчики на iOS — интересно посмотреть», — подчеркнул Дмитрий.
Что касается операционной системы Windows Phone 8, то в конце 2014 появился jailbreak и для нее. По мнению экспертов, данный факт упростит и ускорит появление вредоносного кода для WP8.
Среди важных трендов в сфере мобильной безопасности назван растущий спрос на анализ исходного кода мобильных приложений для финансовых организаций. Это обусловлено тем, что изначально они создавались сторонними разработчиками, которые, возможно, не уделяли должного внимания безопасности. Сейчас финансовые организации хотят контролировать все, включая мобильные приложения.
Проблема встроенных сертификатов на мобильных устройствах и чрезмерная вера в защищенность при их использовании на мобильных устройствах станет еще острее. Показательной можно считать реальную атаку, при которой на iOS-устройство без jailbreak устанавливается вредоносное приложение. Также не стоит забывать о возможности реализации атаки MiTM владельцами этих встроенных сертификатов.
О безопасности банков и организаций финансового сектора дал комментарий Алексей Тюрин, директор департамента аудита защищенности Digital Security.
«В наступившем году в банковской сфере сохранятся основные тенденции прошедшего. Во-первых, будет расти количество атак на внутрибанковские системы. То есть вектор атак продолжит расширяться с клиентов банков на сами банки. Основная причина — возможность сорвать сразу большой куш. Конечно, такие атаки трудно автоматизировать полностью, да и с выводом денег могут возникнуть проблемы. Но пока готовность банков противодействовать таким атакам не заметна ни на техническом уровне, ни на уровне понимания. А потому проводить их достаточно легко. И хотя ЦБ в этом году выпустил стандарт, посвященный жизненному циклу АБС и призванный повысить защищенность банковских систем, он является рекомендательным и «на местах» его внедряют неохотно», — сообщил Алексей.
Также в 2015 году будет расти количество и качество вредоносного кода, особенно кроссплатформенного. В первую очередь, речь идет о вирусах, которые могут распространяться в рамках одной ОС на несколько устройств. Так, нередки случаи заражения смартфонов через ПК или наоборот. Таким образом, «второй канал» уже не сможет спасти пользователя ДБО от хищения средств с его счетов в банке, поскольку злоумышленник сможет читать одноразовые пароли, приходящие по SMS на мобильное устройство, посредством зараженного ПК.
Следующая тенденция — реализация атак в отношении «непродвинутых» пользователей. Традиционные проблемы (некорректные настройки ПО, отсутствие обновлений, добровольное содействие «социальным инженерам» и несоблюдение правил ИБ при работе с интернетом) остаются. Также наверняка будет зафиксировано большое количество инцидентов в сфере онлайн-платежей. К примеру, перехватив сведения о номере карты (PAN), сроке действия и CVV2 (и даже без него), злоумышленник уже может проводить различные транзакции по карте через онлайн-сервисы и, таким образом, выводить деньги.
Еще один тренд наступающего года — усиление активности злоумышленников в отношении электронной валюты BitCoin (и ее аналогов). Будет появляться все больше вирусов, нацеленных на кражу таких «денег», а также возрастет число таргетированных атак на ресурсы, где они «крутятся».
Поскольку все больше интернет-клиентов (особенно для юридических лиц) работают теперь не только с браузером Internet Explorer и ОС Windows, а поддерживают и другие браузеры и ОС, это создает сложности для злоумышленников, стремящихся автоматизировать все процессы: от атак на клиентов и заражения их до определения ДБО банка и вывода денег. Помимо этого, растет и количество мобильных банк-клиентов, что еще затрудняет преступную деятельность. С практической точки зрения, захватить полный контроль над мобильным устройством или хотя бы установить на нем вредоносное приложение в разы труднее, чем произвести аналогичные действия на обычном компьютере. Другой положительной тенденцией является усиление функций безопасности на ПК. К примеру, все больше производителей ПО переходит на процесс автоматического и практически принудительного обновления ПО.
Дмитрий Частухин, директор департамента аудита SAP Digital Security, рассказал о безопасности ERP-систем.
В 2015 году количество внедряемых ERP-систем будет увеличиваться. Более того, существующие платформы будут активно обновляться ввиду растущих потребностей бизнеса. Так, например, наблюдается увеличение количества SAP платформ версии 7.3 в 3,5 раза и снижение количества версий 6.4 примерно в полтора раза. Параллельно с этим, сегодня все реже встречаются исключительно «внутренние» ERP-системы, поскольку развитие мобильных и облачных технологий затронуло и эту сферу. Доступность из интернета в сочетании со снижением расценок на организацию таргетированных атак продолжит привлекать внимание злоумышленников к этой области.
«В этом году мы ожидаем рост критичных уязвимостей, приводящих к таким атакам, как удаленное выполнение кода, отказ в обслуживании и обход авторизации в новых решениях крупных игроков рынка (ERP SAP HANA, SAP Mobile). Проблемы с безопасностью продуктов менее популярных вендоров сделают возможными атаки на SCADA-системы через ERP-приложения», — подчеркнул Дмитрий.
Безопасность АСУ ТП затронул Александр Большев, директор департамента аудита АСУ ТП Digital Security.
Маловероятно, что на западном рынке в области безопасности АСУ ТП что-либо кардинальным образом изменится в 2015 году. Что касается отечественного рынка, то 31 приказ ФСТЭКа, несомненно, оказал и продолжает оказывать существенное влияние на индустрию, и можно надеяться, что уровень общей защищенности систем вырастет. Очевидно, что наиболее интересным следующий год будет в области исследований. Уже сейчас их вектор постепенно смещается от традиционных SCADA-систем, к которым, зачастую, исследователю трудно получить доступ, в область систем, используемых в повседневности. Можно не сомневаться, что нас ждет множество новых данных о безопасности умных домов, систем управления движением, специфичных для городской среды радиопротоколов, транспортных сетей.