Портал МОН-а решил ночью не работать =)
Size: a a a
2017 March 27
2017 March 30
В Астане сегодня переменная облачность, временами снег, шквальный ветер. По сообщениям МЧС закрыты некоторые междугородние трассы по погодным условиям (гололед, метель). А по сведениям CERT.KZ этот день стал жарким для одной из веб-студий Казахстана, которая вынуждена устранять последствия дефейсов 64 сайтов, расположенных на collocation-сервере. Для акцента: в данном случае недоработка не хостинговой компании, а системных администраторов веб-студии. Будем надеяться, что из ошибок будет извлечен полезный опыт. С стороны CERT.KZ направлены уведомления веб-студии и хостинговой компании для сведения.
Другая казахстанская веб-студия, действующая со статусом "Индивидуальный предприниматель" и расположенная в г. Караганда, в рамках массового оказания услуг по сопровождению сайтов госорганов допустила нарушение законодательства РК в части размещения сайтов на зарубежном хостинге. Компании также направлено уведомление о допущенных нарушениях.
2017 April 06
Службой мониторинга CERT.KZ зафиксирован очередной неофициальный визит группы Anonymous Fox на сервер АО "Казахтелеком" 82.200.204.2, по итогам которого дефейсу подверглись 77 сайтов. Последствия визита устраняются. Как написано в приветственном обращении группы, оставленном на сайтах - "Sorry, we were here to deliver a message, not for acts of sabotage. Thanks for understanding". Перефразируя цитату из известного фильма, можно сказать, что вежливость - главное оружие хакера. Об этом свидетельствуют не только такие послания с извинениями, но и очень большая клиентоориентированность распространителей ransomware, которые предлагают своим "клиентам" максимально гибкие и удобные условия оплаты за зашифрованные или удаленные данные. К сожалению, в целом наблюдается устойчивый рост количества инцидентов ИБ с начала года. Прогнозы специалистов о том, что Казахстан "накопил" критическую массу информационных ресурсов и сервисов, которые будут подвергаться массовым атакам в возрастающем порядке подтверждаются. Так, за последнюю декаду марта только дефейсам подверглись 95 сайтов в зоне .kz. Сводная статистика количества инцидентов за истекший период будет опубликована в ближайшее время.
2017 April 07
Единый Регистратор АО «Национальные информационные технологии» для государственных органов и образовательных учреждений Республики Казахстан запустил новую версию сайта reg.gov.kz. При посещении новой версии сайта пользователи получали предупреждение о недоверенном соединении. Мы попробовали определить причины такого поведения браузеров.
Сразу же бросается в глаза красный значок ненадежного SSL-соединения. Для проверки был использован инструментарий от компании SSLlabs. По результатам сканирования ресурс reg.gov.kz получил низший рейтинг F. Основной причиной такой оценки стала возможность проведения атак POODLE и OpenSSL Padding Oracle vulnerability (CVE-2016-2107), а соответственно и использование устаревших и уязвимых протоколов SSL v.3. Кроме того сертификат, выпущенный НУЦ считается недоверенным, так как «сертификат его издателя неизвестен» Помимо откровенных уязвимостей, рейтинг понижен также из-за неверной конфигурации сервера, например неверное использование RC4 шифра, отсутствие цепочки сертификатов и Forward Secrecy. Это не первая ошибка системных администраторов веб-ресурсов АО "НИТ", имеющих весьма критический уровень риска. Напомним, что месяцем ранее, в новом SSL сертификате egov.kz от 3 марта в поле Subject Alternative Names забыли внести сам домен egov.kz, из-за этого браузеры пользователей портала "Электронного правительства" также выдавали предупреждающие сообщения. По факту была допущена элементарная техническая ошибка в DNS-имени сайта, которое было прописано как *.egov.kz. В прошлом году, Центром анализа и расследования кибератак также был выявлен целый ряд уязвимостей как на портале "Электронного правительства", так и на сайте регистратора доменных имен, в том числе - так называемая blackout-уязвимость, которая позволила бы злоумышленникам удалить доменные имена второго уровня - gov.kz и edu.kz.
Сразу же бросается в глаза красный значок ненадежного SSL-соединения. Для проверки был использован инструментарий от компании SSLlabs. По результатам сканирования ресурс reg.gov.kz получил низший рейтинг F. Основной причиной такой оценки стала возможность проведения атак POODLE и OpenSSL Padding Oracle vulnerability (CVE-2016-2107), а соответственно и использование устаревших и уязвимых протоколов SSL v.3. Кроме того сертификат, выпущенный НУЦ считается недоверенным, так как «сертификат его издателя неизвестен» Помимо откровенных уязвимостей, рейтинг понижен также из-за неверной конфигурации сервера, например неверное использование RC4 шифра, отсутствие цепочки сертификатов и Forward Secrecy. Это не первая ошибка системных администраторов веб-ресурсов АО "НИТ", имеющих весьма критический уровень риска. Напомним, что месяцем ранее, в новом SSL сертификате egov.kz от 3 марта в поле Subject Alternative Names забыли внести сам домен egov.kz, из-за этого браузеры пользователей портала "Электронного правительства" также выдавали предупреждающие сообщения. По факту была допущена элементарная техническая ошибка в DNS-имени сайта, которое было прописано как *.egov.kz. В прошлом году, Центром анализа и расследования кибератак также был выявлен целый ряд уязвимостей как на портале "Электронного правительства", так и на сайте регистратора доменных имен, в том числе - так называемая blackout-уязвимость, которая позволила бы злоумышленникам удалить доменные имена второго уровня - gov.kz и edu.kz.
2017 April 13
Специалисты Центра анализа и расследования кибератак (CERT.KZ) приняли участие в круглом столе на тему «Некоторые вопросы обеспечения государственной системы «Киберщит Казахстана», организованного директором НИИ информационной безопасности и криптологии Ержаном Сейткуловым и прошедшего 12 апреля в ЕНУ им. Л.Н.Гумилева.
Основными вопросами для обсуждения отечественными учеными и экспертами в области информационной безопасности стали разработка отечественных алгоритмов шифрования, вопросы доверия к иностранным программным и аппаратным продуктам, в том числе к иностранным антивирусным программам, создание ИБ-лабораторий на базе вузов, подготовка кадров, а также другие актуальные вопросы, в том числе вопросы построения SOC.
В ходе оживленной дискуссии участники склонились к тому, что существует объективная потребность в разработке отечественных криптографических алгоритмов, мотивируя это тем, что современные иностранные стандарты шифрования, как правило, могут содержать параметры, способ генерации которых неизвестен никому, кроме самих разработчиков алгоритмов шифрования. Была отмечена необходимость государственной поддержки отечественных разработок в области информационной безопасности. Также было акцентировано внимание на том, что на данный момент отсутствуют технические возможности гарантированной проверки любого программного продукта на предмет наличия недокументированного функционала, что накладывают дополнительные риски при использовании иностранного ПО в сфере защиты информации. О необходимости создания независимых лабораторий такого типа Центр анализа и расследования кибератак не единожды заявлял еще ранее, однако, фактическая ситуация в республике пока остается без изменений.
В рамках реализации программы "Киберщит" встает необходимость максимального применения отечественных программных продуктов в сфере информационной безопасности, поскольку иностранное ПО действительно априори снижает уровень безопасности киберпространства страны, однако готовых к внедрению конкурентоспособных разработок, способных обеспечить импортозамещение на сегодня не существует, что в свою очередь обусловлено чрезвычайно низким кадровым потенциалом в данной области. Имеющиеся технологические парки, лаборатории действуют разрозненно, с КПД близким к нулевому.
Встреча в очередной раз показала, что несмотря на понимание проблем, препятствующих становлению казахстанской индустрии информационной безопасности, каких-то конкретных системных решений пока, к сожалению, не имеется.
По итогам обсуждения круглого стола в CERT.KZ принято решение об инициации работы по созданию независимой дискуссионной площадки в форме частного общественного совета, целью которой будет сбор и дальнейший системный анализ существующих проблем в индустрии информационной безопасности, а также создание открытого банка актуальных задач и проектов в данной области и реализация краудфандингового проекта для поддержки отечественных разработок в области кибербезопасности.
Основными вопросами для обсуждения отечественными учеными и экспертами в области информационной безопасности стали разработка отечественных алгоритмов шифрования, вопросы доверия к иностранным программным и аппаратным продуктам, в том числе к иностранным антивирусным программам, создание ИБ-лабораторий на базе вузов, подготовка кадров, а также другие актуальные вопросы, в том числе вопросы построения SOC.
В ходе оживленной дискуссии участники склонились к тому, что существует объективная потребность в разработке отечественных криптографических алгоритмов, мотивируя это тем, что современные иностранные стандарты шифрования, как правило, могут содержать параметры, способ генерации которых неизвестен никому, кроме самих разработчиков алгоритмов шифрования. Была отмечена необходимость государственной поддержки отечественных разработок в области информационной безопасности. Также было акцентировано внимание на том, что на данный момент отсутствуют технические возможности гарантированной проверки любого программного продукта на предмет наличия недокументированного функционала, что накладывают дополнительные риски при использовании иностранного ПО в сфере защиты информации. О необходимости создания независимых лабораторий такого типа Центр анализа и расследования кибератак не единожды заявлял еще ранее, однако, фактическая ситуация в республике пока остается без изменений.
В рамках реализации программы "Киберщит" встает необходимость максимального применения отечественных программных продуктов в сфере информационной безопасности, поскольку иностранное ПО действительно априори снижает уровень безопасности киберпространства страны, однако готовых к внедрению конкурентоспособных разработок, способных обеспечить импортозамещение на сегодня не существует, что в свою очередь обусловлено чрезвычайно низким кадровым потенциалом в данной области. Имеющиеся технологические парки, лаборатории действуют разрозненно, с КПД близким к нулевому.
Встреча в очередной раз показала, что несмотря на понимание проблем, препятствующих становлению казахстанской индустрии информационной безопасности, каких-то конкретных системных решений пока, к сожалению, не имеется.
По итогам обсуждения круглого стола в CERT.KZ принято решение об инициации работы по созданию независимой дискуссионной площадки в форме частного общественного совета, целью которой будет сбор и дальнейший системный анализ существующих проблем в индустрии информационной безопасности, а также создание открытого банка актуальных задач и проектов в данной области и реализация краудфандингового проекта для поддержки отечественных разработок в области кибербезопасности.
В рамках образовательного проекта "ЦАРКА-Академия" специалисты CERT.KZ провели встречи в формате Open Talk со студентами "Nazarbayev University" и Алматинского университета энергетики и связи. В формате "без купюр" нашим будущим потенциальным коллегам было рассказано о деятельности Центра анализа и расследования кибератак, а также продемонстрировано несколько практических кейсов. Студенты университетов приняли активное участие в беседе со специалистами Центра, было задано очень много вопросов, в том числе о личной жизни и размере заработной платы. Особо хотелось бы отметить студентов третьего курса АУЭС, среди которых нашлись увлекающиеся таким экзотическим для Казахстана направлением информационной безопасности как форензика, а также оказались представительницы прекрасного пола, умеющие не только держать в руках включеный паяльник, но и паять. Шестеро студентов АУЭС в рамках заключенного с университетом меморандума пройдут летнюю курсовую практику при Центре анализа и расследования кибератак. Также достигнута договоренность о сотрудничестве с Международным университетом информационных технологий (МУИТ) в области внеучебной подготовки студентов и практической поддержки со стороны CERT.KZ по вопросам обучения и другим направлениям взаимовыгодного сотрудничества.
2017 April 15
К вопросу о качестве подготовки отечественных специалистов по информационным технологиям. Абсолютно неприкрытая ошибка с доступом к информации об успеваемости на сайте одного из профильных университетов - http://studres.kstu.kz:8095/StudMarks/StudMarks.jsp?id=152655 . Простым перебором по id можно узнать все оценки, как минимум. Это не только небезопасно, но и непедагогично. Университет, к слову, среди прочих специальностей осуществляет и подготовку по специальности 5B100200 "Системы информационной безопасности". Комментарии, как говорится, излишни.
2017 April 18
Появившиеся в сети интернет инструменты АНБ и, пока, информация о инструментах ЦРУ, кардинально меняют привычный ландшафт кибер-безопасности. Согласно данным СМИ, выявлены факты массового использования еще неисправленных уязвимостей.
На фоне происходящего, профильные ведомства по обеспечению кибер-безопасности Казахстана продолжают толочь воду в ступе и обсуждать теорию не занимаясь практикой. Разработка очередных версий концепции "Киберщит", отвлекла внимание от событий мирового масштаба, ставящие под угрозу всю IT инфраструктуру страны.
Тем временем, в ЦАРКА проведен анализ опубликованных материалов, в том числе последнего от Equation Group. Основываясь на результатах собственных тестов, мы настоятельно рекомендуем всем организациям и частным лицам принять срочные меры по усилению защиты рабочих станций и серверов под управлением операционной системы Microsoft Windows всех версий, а именно:
- проверить актуальность установленных пакетов обновлений и обновлений систем безопасности как для самой операционной системы Microsoft Windows, так и для пакета программ Microsoft Office;
- запретить на уровне локальных и доменных политики безопасности использование протоколов SMB версий 1.0 и 2.0, RDP и WebDAV, а в случае невозможности запрета или отказа от использования данных протоколов - обеспечить дополнительные меры защиты при помощи средств IPS и аналогичных;
- произвести внеочередную принудительную смену паролей учетных записей с административными полномочиями;
- выполнить внеочередное резервное копирование информационных ресурсов и баз данных;
- обновить и проверить стабильность функционирования средств сигнатурного и поведенческого анализа и защиты.
Несмотря на заявления компании Microsoft, в связи с широкой доступностью эксплойтов, следует срочно принять меры защиты от ожидаемого всплеска атак. Важно учесть, что обновления для операционных систем Windows XP, Vista, Server 2003 выпущены не будут, т.к. они сняты с поддержки. В этой связи, необходима миграция на более поздние версии операционной системы с полным пакетом обновлений безопасности.
Со своей стороны, специалисты Центра анализа и расследования кибератак, готовы оказать практическую помощь в проведении проверок на уязвимость инфраструктуры и предоставлению более точных рекомендаций по усилению защиты в каждом конкретном случае. https://www.facebook.com/cyberseckz/photos/a.1675790765981995.1073741828.1674347306126341/1955387341355668/?type=3&permPage=1
На фоне происходящего, профильные ведомства по обеспечению кибер-безопасности Казахстана продолжают толочь воду в ступе и обсуждать теорию не занимаясь практикой. Разработка очередных версий концепции "Киберщит", отвлекла внимание от событий мирового масштаба, ставящие под угрозу всю IT инфраструктуру страны.
Тем временем, в ЦАРКА проведен анализ опубликованных материалов, в том числе последнего от Equation Group. Основываясь на результатах собственных тестов, мы настоятельно рекомендуем всем организациям и частным лицам принять срочные меры по усилению защиты рабочих станций и серверов под управлением операционной системы Microsoft Windows всех версий, а именно:
- проверить актуальность установленных пакетов обновлений и обновлений систем безопасности как для самой операционной системы Microsoft Windows, так и для пакета программ Microsoft Office;
- запретить на уровне локальных и доменных политики безопасности использование протоколов SMB версий 1.0 и 2.0, RDP и WebDAV, а в случае невозможности запрета или отказа от использования данных протоколов - обеспечить дополнительные меры защиты при помощи средств IPS и аналогичных;
- произвести внеочередную принудительную смену паролей учетных записей с административными полномочиями;
- выполнить внеочередное резервное копирование информационных ресурсов и баз данных;
- обновить и проверить стабильность функционирования средств сигнатурного и поведенческого анализа и защиты.
Несмотря на заявления компании Microsoft, в связи с широкой доступностью эксплойтов, следует срочно принять меры защиты от ожидаемого всплеска атак. Важно учесть, что обновления для операционных систем Windows XP, Vista, Server 2003 выпущены не будут, т.к. они сняты с поддержки. В этой связи, необходима миграция на более поздние версии операционной системы с полным пакетом обновлений безопасности.
Со своей стороны, специалисты Центра анализа и расследования кибератак, готовы оказать практическую помощь в проведении проверок на уязвимость инфраструктуры и предоставлению более точных рекомендаций по усилению защиты в каждом конкретном случае. https://www.facebook.com/cyberseckz/photos/a.1675790765981995.1073741828.1674347306126341/1955387341355668/?type=3&permPage=1
2017 April 20
Официальный аккаунт Tengrinews.kz в социальной сети Вконтакте был взломан неизвестными )
2017 April 23
Сайт министерства обороны РК подвергся дефейсу. В настоящее время сайт отключен, но доступна копия взломанной главной страницы через кеш Яндекса.
Только на прошлой неделе вышла новость (http://profit.kz/news/38165/V-Kazahstane-poyavitsya-Cifrovaya-armiya/) о том, что Вооруженные силы РК для эффективного управления повседневной деятельностью казахстанских войск начали разработку программы «Цифровая армия» с применением новейших информационных технологий.
«Это позволит военнослужащим после увольнения в запас найти применение своим профессиональным качествам в гражданской сфере. Также в нем предусмотрены новые востребованные специальности, в частности в области кибербезопасности», - заключил представитель МО РК.
Но, к сожалению, они на данный момент даже неспособны организовать правильную защиту своего официального портала от палестинских хакеров. Сегодня вечером ориентировочно с 22:00 до 23:00 был взломан mod.gov.kz. Хакеры разместили на нем Дефейс (скрин прилагается). На данный момент сайт недоступен. Для того, чтобы посмотреть на дефейс следует посмотреть сохраненную копию страницы в Яндексе https://hghltd.yandex.net/yandbtm?fmode=inject&url=https%3A%2F%2Fmod.gov.kz%2F&tld=ru&lang=ru&la=1492496384&tm=1492970820&text=mod.gov.kz&l10n=ru&mime=html&sign=02e81322c65bbf25f7964738266a4c26&keyno=0
Данный факт наглядно показывает, что обсуждаемая до сих пор концепция программы "Киберщит" далека от реалий, поскольку с заявленными в ней сроками достижения целевых показателей улучшения ситуации к 2022 году, информационное пространство Казахстана станет лучшим в мире киберполигоном для тренировок и показательных выступлений зарубежных цифровых армий.
https://www.facebook.com/cyberseckz/posts/1958131014414634
Только на прошлой неделе вышла новость (http://profit.kz/news/38165/V-Kazahstane-poyavitsya-Cifrovaya-armiya/) о том, что Вооруженные силы РК для эффективного управления повседневной деятельностью казахстанских войск начали разработку программы «Цифровая армия» с применением новейших информационных технологий.
«Это позволит военнослужащим после увольнения в запас найти применение своим профессиональным качествам в гражданской сфере. Также в нем предусмотрены новые востребованные специальности, в частности в области кибербезопасности», - заключил представитель МО РК.
Но, к сожалению, они на данный момент даже неспособны организовать правильную защиту своего официального портала от палестинских хакеров. Сегодня вечером ориентировочно с 22:00 до 23:00 был взломан mod.gov.kz. Хакеры разместили на нем Дефейс (скрин прилагается). На данный момент сайт недоступен. Для того, чтобы посмотреть на дефейс следует посмотреть сохраненную копию страницы в Яндексе https://hghltd.yandex.net/yandbtm?fmode=inject&url=https%3A%2F%2Fmod.gov.kz%2F&tld=ru&lang=ru&la=1492496384&tm=1492970820&text=mod.gov.kz&l10n=ru&mime=html&sign=02e81322c65bbf25f7964738266a4c26&keyno=0
Данный факт наглядно показывает, что обсуждаемая до сих пор концепция программы "Киберщит" далека от реалий, поскольку с заявленными в ней сроками достижения целевых показателей улучшения ситуации к 2022 году, информационное пространство Казахстана станет лучшим в мире киберполигоном для тренировок и показательных выступлений зарубежных цифровых армий.
https://www.facebook.com/cyberseckz/posts/1958131014414634
2017 May 10
Службой мониторинга Центра анализа и расследования кибератак (CERT.KZ) зафиксирован взлом сайтов районных государственных органов Карагандинской области и частных компаний. Всего подверглось атаке 11 сайтов, из которых 8 - сайты госучреждений. Все сайты расположены на сервере 188.0.139.217 (АО "Казтранском") и обслуживаются ТОО "ЦИС WTO" (toowto.kz). Атака на сайты не повлекла за собой деструктивных последствий.
