Документ описывает основные киберугрозы в Украине на основе данных 2010 года, включая мошенничество с банковскими картами, социальную инженерию и уязвимости веб-приложений. Необходимо улучшение управления информационной безопасностью, внедрение риск-менеджмента и обновление программного обеспечения для повышения безопасности. Также упоминаются рекомендации по защите от киберугроз и тенденции роста DDoS-атак и 0-day уязвимостей.

1. Топ 10 киберугроз в Украине
(По итогам 2010 г.)
Владимир Ткаченко
директор ООО “Агентство активного аудита”
Евгений Ермолаев
Технический директор ООО “Агентство активного аудита”
CISM

2. Основные тренды киберугроз
Основные тренды киберугроз применительно к
Украине:
- Мошенничество с помощью систем ДБО;
- Высокая степень уязвимости к приемам
социальной инженерии;
- ПО на стороне клиента продолжает оставаться
необновленным даже после выпуска патчей;
- Слабая организация управления ИБ;
- Отсутствие риск менеджмента в отношении
информационных активов (1С и др. БД);
- Уязвимости WEB-сайтов и WEB-приложений
использующихся через Internet;
- Уязвимости беспроводных сетей предприятия
(Wi-Fi, CDMA, GSM, IP Telephony)
- Рост количества и сложности DDoS как способа
конкурентной борьбы;
- Рост количества 0-day уязвимостей;
- Несоблюдение рекомендаций производителей
ПО и оборудования по настройке параметров
безопасности
18.05.2011 © ООО «Агентство активного аудита» 2

3. Мошенничество с помощью систем «Клиент-Банк» и карт
Факты по картам
• В своем письме банкам от 15.04.2010 № 25-312/943-5139 НБУ отмечает что «Кількість
шахрайських операцій з використанням платіжних карток … становила 6 304 тис. грн.», т.е. 6
млн. 304 тыс. грн. (Fake ATM – в Караване, fake Internet shop, phishing, vishing, skimming, trojan
horses, SMS phishing, кражи карточных данных в торговых точках, АЗС и т.п.)
Факты по ДБО
• Мировая тенденция уже в Украине ( 25% наших клиентов пострадали от подобных операций);
• В основном угрозы через вирусы (троянские кони) и собственный персонал (небрежное
хранение ключевых данных к ДБО). Примеры: ZeuS, Trojan.PWS.OSMP, Trojan.Tatanarg и др. ;
• «Черкасское дело» (март-апрель 2011г) – 7 млн. грн.
18.05.2011 © ООО «Агентство активного аудита» 3

4. МЕТОДЫ ПРЕДОТВРАЩЕНИЯ МОШЕННИЧЕСТВА С ПОМОЩЬЮ ДБО ИЛИ КАРТ
Источник угрозы – методы защиты:
 Собственные ИТ сотрудники (в небольших
компаниях) – управление доступом к ДБО,
управление рисками, применение
многоуровневой авторизации платежа;
 Менеджеры крупных компаний, имеющие доступ
к ключам ДБО (или ЭЦП) – управление доступом,
управление рисками, многоуровневая
авторизация платежа, лимиты платежа;
 Внешние ИТ сотрудники (в небольших компаниях), обслуживающие ПО или ПК –
управление доступом к ДБО, управление рисками, применение многоуровневой
авторизации платежа;
 Злоумышленники использующие НСД через вирусное ПО - управление доступом к ПК с
ДБО, постоянное обновление ПО и ОС, применение специализированного ПО
(антивирусы, End Point Security, файрвол), многоуровневая авторизация платежа,
лимиты платежа, использование аппаратных криптопровайдеров.
18.05.2011 © ООО «Агентство активного аудита» 4

5. Угроза – социальная инженерия
18.05.2011 © ООО «Агентство активного аудита» 5

6. Отсутствие патч менеджмента и управления
уязвимостями
18.05.2011 © ООО «Агентство активного аудита» 6

7. Слабая организация управления ИБ
 ISO 27001 – открытие для ИТ директоров предприятий
 ISO 18044 – откровение для ИТ и бизнеса
 CoBIT – это что-то только у «них там на западе»
 Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и
все будет ок
18.05.2011 © ООО «Агентство активного аудита» 7

8. Отсутствует управление ИТ рисками
Основные принципы функционирования ИТ
• Владельцы активов не назначены (хотя бы на уровне Клиент-Банк, 1С и баз данных)
• Классификация информации не проводится (что относить к коммерческой тайне + ПДн)
• Документация отсутствует (есть только в голове айтишника)
• Операционные процедуры (если есть) не соблюдаются
• Управление конфигурациями (версиями) не осуществляется
• Персонал «ни за что не отвечает», осведомленность пользователей стремится к 0
Управление рисками для Украины либо «экзотика», либо КСЗИ
• Оценка ущерба для критичных информационных активов не проводится
• Анализ угроз и уязвимостей не проводится (или представляет собой примитивные
умозаключения – поставим файрвол от хакеров)
• Планирование мероприятий защиты (или обработки рисков) отсутствует так как нет бюджета.
А на устранение инцидента бюджет есть? ТОЖЕ НЕТ!
• Как следствие – не проводится и расчет ROSI (Return On Security Investments)
18.05.2011 © ООО «Агентство активного аудита» 8

9. Уязвимости WEB сайтов и приложений
Из обнаруженных уязвимостей:
1) Межсайтовое выполнение сценариев (Cross-Site Scripting) на странице http://fart-
spec.com.ua/search.php.
2) Использование простых паролей, что позволило аудиторам развить атаку и получить полный
доступ к серверу.
3) Были обнаружены сторонние PHP скрипты, вероятней всего сайт уже был взломан или скрипт
был оставлен сотрудниками компании с неизвестной целью.
Также было обнаружено:
- лицензия на ПО CMS Bitrix истекла, и в дальнейшем сайты не смогут получать обновления;
- протоколирование действий в системе средствами сайта отключено, что позволяет
потенциальному злоумышленнику остаться необнаруженным;
- ПО сервера обновляется не постоянно;
- пользователь www имеет доступ к файлам и папкам за пределами своей домашней директории;
- разграничение прав доступа к файлам на веб сервере не настроено;
- учет изменений на сервере не ведется.
18.05.2011 © ООО «Агентство активного аудита» 9

10. Уязвимости беспроводных сетей
Три слова о :
1) WEP взламывается в 100 % случаев (при наличии спецоборудования для усиления)
2) WPA и WPA2 - взлом зависит от «веса» словаря = дело времени и денег
3) Всегда можно пробовать Rogue Access Point (http://www.securitytube.net/video/430)
Также никто не отменял общие принципы атак на CDMA и GSM:
1) НСД к сети;
2) Внутренний и внешний саботаж;
3) Атаки на криптоалгоритм (GSM) и др.
Атаки на IP телефонию :
1) Сниффинг трафика (Cain &Abel);
2) Кража пользовательских данных и мошенничество с их применением (identity theft&fraud);
3) Атаки на целостность VoIP данных (типа man-in-the-middle);
4) Атаки типа отказ в обслуживании (DoS).
18.05.2011 © ООО «Агентство активного аудита» 10

11. Конкурентная борьба с помощью DDoS
 15 % наших клиентов сталкивались с DoS
 Тенденция – ботнеты состоят не только из ПК, но серверов и сетевого
оборудования
 Стоимость DDoS 300-500 USD в зависимости от задачи и требуемых ресурсов
Громкие DDoS в Украине:
1) 29.01.2010 – DDoS на сайт security.ua, 23.03.2010 – UA-Reporter.com;
2) Конец августа 2010 г – imena.ua/mirohost.net ( 2Гбит/с, ZeuS, 3 млн. компьютеров ботнет);
3) 8 октября 2010 г. – Укртелеком (ухудшение качества доступа в Internet);
Александр Ольшанский (президент Imena.ua) сообщил: «К сожалению, у нас DDOS-
атаки стали привычным инструментом политической и конкурентной борьбы,
который используют для воздействия на неугодные сайты или шантажа
электронных магазинов. Зло это общемировое, и Украина здесь далеко не впереди
планеты всей. Тем не менее и в нашей стране в течение ближайших 2-3 лет
проблема DDOS-атак приобретет серьезную актуальность и будет требовать
соответствующих решений как от владельцев интернет-ресурсов, так и от
хостинг-провайдеров».
18.05.2011 © ООО «Агентство активного аудита» 11

12. Увеличение количества 0-day уязвимостей
 0day Exploit Released : Adobe, HP, Sun, Microsoft Interix
& many more Vendors FTP hackable ! Интервал неделя!
 Тенденция – средняя цена 0day – 1-3 и 5-7K USD
(http://unsecurityresearch.com/index.php?option=com_co
ntent&view=article&id=52&Itemid=57)
 Тенденция 2 – вендоры готовы платить за 0day (Google,
VerySign, Intel и др.)
 Уже история 2010 – Aurora (Google, Adobe via CVE-2010-
0249), Stuxnet (SCADA via CVE-2010-2568)
Выводы:
- патч-менеджмент и vulnerability-менеджмент снижают вероятность реализации 0day;
- технические и программные решения сторонних производителей по ИБ могут снизить, а
могут и повысить вероятность 0day;
- Включение встроенных в ОС механизмов защиты (EMET, AppArmor);
- На стороне клиента минимизировать использование сценариев (Javascript, ActiveX …);
- Не давать пользователю или приложению административные права.
18.05.2011 © ООО «Агентство активного аудита» 12

13. Рекомендации производителей по настройке параметров ИБ
Network Security Baseline
Microsoft Security Baseline Analyzer
Nortel Security Baseline
IT Security baseline (IT-Grundshutz)
CoBIT Security Baseline
Linux Security Guideline
AIX Security Guideline
18.05.2011 © ООО «Агентство активного аудита» 13

14. Вопросы
info@auditagency.com.ua
www.auditagency.com.ua
044 228 15 88