Positive Technologies на «РусКрипто’2016»: угрозы IoT, проблемы 2FA

Эксперты Positive Technologies приняли участие в научно-практической конференции «РусКрипто’2016», проходившей в Подмосковье с 22 по 25 марта. С докладами выступили Алексей Качалин, Владимир Кропотов и Тимур Юнусов.

Интернет вещей перестает быть баззвордом и превращается в окружающую действительность. В нынешнем году число устройств IoT вырастет на 30% — до 6,5 миллиардов, а к 2020 году на каждого жителя планеты будет приходиться несколько таких устройств. Компания Positive Technologies не раз обращала внимание на различные проблемы IoT: в 2014 году Артем Чайкин рассказывал о проблемах умных сетей электроснабжения smart grid, а в 2016 году на конференции в Ванкувере — о недостатках носимых устройств на Android Wear.

На «РусКрипто» заместитель директора центра компетенций Positive Technologies Алексей Качалин обратил внимание на угрозы интернета вещей, в том числе связанные с наслоением технологий вокруг IoT: «К уязвимостям мобильных устройств, на которые часто выведены интерфейсы управления, добавляются недостатки "гейтвеев", собирающих информацию и взаимодействующих с конечными устройствами. Это все усугубляется незащищенностью облачных серверов, где хранятся учетные записи, и веб-интерфейсов корпоративных порталов. Вишенкой на этом слоеном пироге являются специфические угрозы интернета вещей, связанные с физическим доступом к устройству и манипуляциями с прошивкой, возможностью сбросить устройство в начальное состояние или завести нового пользователя. IoT дает злоумышленнику новый простор для творчества — можно, скажем, отключить устройство, которое должно просыпаться раз в час, исчерпав запас его батарейки, или дезориентировать систему корабельной навигации, сообщив неправильные данные о погоде».

Старший эксперт отдела безопасности банковских систем Positive Technologies Тимур Юнусов представил на «РусКрипто» обзор проблем безопасности двухфакторной аутентификации в финансовой отрасли. Одноразовые пароли сегодня используются повсюду, однако есть немало способов, в том числе очень простых, чтобы обмануть систему контроля доступа. Самый простой пример: злоумышленник может подбирать одноразовые пароли, постоянно запрашивая новый, — если нет ограничения по числу попыток. Тимур привел предварительную статистику Positive Technologies за 2015 год по финансовой отрасли: 54% исследованных экспертами компании систем некорректно реализовывали механизмы двухфакторной авторизации, что позволяло тем или иным способом их обходить, а 36% проектов содержали XSS-уязвимости, которые могли бы помочь злоумышленникам в обходе 2FA и в фишинговых атаках.

Руководитель отдела мониторинга Positive Technologies Владимир Кропотов затронул тему организации обмена информацией об угрозах: «Применение оригинальных атакующих стратегий и уникальных инструментов оставляет мало шансов для быстрого выявления угроз. Но такой подход требует значительных ресурсов на подготовку, и поэтому киберпреступники вынуждены повторно применять инструментарий и тактики, что позволяет выявлять угрозы оперативно. Обмен информацией об угрозах — threat intel information sharing — важный шаг в развитии систем обнаружения вторжений и анализа действий атакующего. Но обмен должен быть контролируемым: необходимо установить правила для минимизации рисков при добровольном обмене информацией».

«РусКрипто» — одна из старейших конференций в России, проводится с 1999 года. Positive Technologies участвует в мероприятии с 2008 года.