Rurociąg w Stanach sparaliżowany po ataku

Cyberatak wymusił operacyjne zamknięcie Colonial Pipeline, największego rurociągu produktów rafinowanych w Stanach Zjednoczonych.

Firma Colonial Pipeline Company podała w piątek, że padła ofiarą cyberataku. Zmusiło to firmę do proaktywnego wyłączenia niektórych systemów i tymczasowego wstrzymania wszystkich operacji związanych z rurociągami. Firma twierdzi, że atak miał wpływ na niektóre jej systemy informatyczne, jednak nie potwierdziła czy miał bezpośredni wpływ na którykolwiek z jej systemów technologii operacyjnej (OT).

Firma Colonial poinformowała w sobotniej aktualizacji, że incydent dotyczy oprogramowania ransomware.

Firma wynajęła zewnętrzną firmę zajmującą się cyberbezpieczeństwem, która już rozpoczęła dochodzenie w sprawie charakteru i zakresu tego incydentu.

„Colonial Pipeline podejmuje kroki w celu zrozumienia i rozwiązania tego problemu” – powiedział operator rurociągu w oświadczeniu. „W tej chwili naszym głównym celem jest bezpieczne i wydajne przywrócenie naszych usług, aby powrócić do normalnego funkcjonowania. Ten proces już trwa i dokładamy wszelkich starań, aby rozwiązać ten problem i zminimalizować zakłócenia dla naszych klientów i tych, którzy polegają na Colonial Pipeline.”

Zaatakowany rurociąg to największy rurociąg produktów rafinowanych w Stanach Zjednoczonych, transportujący ponad 100 milionów galonów paliwa dziennie. Obejmuje ponad 8 850 km (5500 mil) między Houston w Teksasie a Linden w stanie New Jersey.



Nowe polityki dla deweloperów w Google Play

W tym tygodniu Google ogłosił, że wprowadza nową politykę dla sklepu z aplikacjami Google Play, która wymaga od wszystkich programistów podania informacji o praktykach gromadzenia danych. Zmiana ma „pomóc ludziom zrozumieć dane, które aplikacja zbiera lub udostępnia, jeśli są one zabezpieczone, oraz dodatkowe szczegóły, które mają wpływ na prywatność i bezpieczeństwo”.

Google już prosi programistów, aby powiedzieli, czy ich aplikacja zbiera dane użytkowników, ale nowy wymóg sprawi, że będą oni przekazywać dalsze informacje w tej sprawie, aby zwiększyć przejrzystość.

Obejmuje to szczegółowe informacje dotyczące gromadzonych danych, takie jak dane osobowe (nazwiska, adresy e-mail i adresy), lokalizacja, kontakty, pliki multimedialne i inne pliki; informacje o sposobie przechowywania tych danych; oraz szczegółowe informacje o sposobie wykorzystania danych (np. funkcjonalność aplikacji i personalizacja).

Aby zapewnić użytkownikom większą przejrzystość, Google będzie również udostępniać informacje o tym, czy aplikacja ma procedury bezpieczeństwa, czy jest zgodna z zasadami dotyczącymi rodzin, czy dane są wymagane do działania aplikacji, czy niezależna firma zewnętrzna zweryfikowała bezpieczeństwo aplikacji oraz czy użytkownicy mogą wymagać usunięcia danych podczas odinstalowywania aplikacji.

Wszystkie zgłoszenia i aktualizacje aplikacji będą musiały być zgodne z nowymi zasadami, począwszy od drugiego kwartału 2022 r.

Nowe zasady będą miały zastosowanie do wszystkich aplikacji dostępnych w Google Play, w tym tych, które pochodzą od samych Google.



Luka TsuNAME może doprowadzić do DDoS-a

Niektóre programy rozpoznawania nazw DNS są dotknięte luką w zabezpieczeniach, którą można wykorzystać do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS). Luka, nazwana TsuNAME, została odkryta przez naukowców z SIDN Labs (zespół badawczo-rozwojowy rejestru domen .nl), InternetNZ (rejestr domen .nz) oraz Information Science Institute na University of Southern California.

Organizacje, których dotyczy problem, zostały powiadomione i dano im 90 dni na podjęcie działań przed ujawnieniem luki. Google i Cisco, z których oba zapewniają powszechnie używane usługi DNS, wdrożyły łaty dla TsuNAME, ale naukowcy uważają, że wiele serwerów jest nadal podatnych na ataki.

Atakujący może nadużywać rekurencyjnych mechanizmów rozpoznawania nazw, na które ma wpływ TsuNAME, w celu wysyłania dużej liczby zapytań do docelowych, autorytatywnych serwerów, takich jak serwery operatorów TLD.

TsuNAME występuje na serwerach, na których występuje cykliczna zależność, błąd konfiguracji spowodowany przez rekordy nazw dla dwóch stref wskazujących na siebie.

„TsuNAME występuje, gdy nazwy domen są błędnie skonfigurowane za pomocą cyklicznie zależnych rekordów DNS, a gdy podatne na ataki resolwery uzyskują dostęp do tych błędnych konfiguracji, zaczynają zapętlać i szybko wysyłać zapytania DNS do autorytatywnych serwerów i innych programów do rozpoznawania nazw” – wyjaśniają naukowcy w artykule szczegółowo opisującym lukę.

Taki incydent zaobserwowano w 2020 r., kiedy autorytatywne serwery dla nowozelandzkiej domeny TLD .nz odnotowały 50-procentowy wzrost liczby zapytań. Analiza wykazała, że wzrost był spowodowany tylko przez dwie domeny, które były źle skonfigurowane z cyklicznymi zależnościami.

W ostatnich latach zaobserwowano co najmniej dwa inne podobne incydenty: jeden z udziałem europejskiego kodu kraju TLD (ccTLD), w którym odnotowano dziesięciokrotny wzrost ruchu w wyniku incydentu; i jedna polegająca na wysyłaniu przez Google dużej liczby zapytań do serwerów operatora anycast.

Naukowcy podzielili się zaleceniami zarówno dla autorytatywnych operatorów serwerów, jak i twórców oprogramowania do rozpoznawania nazw, a także wydali narzędzie open source o nazwie CycleHunter, które może być używane przez organizacje do wykrywania problematycznych konfiguracji.

Podziel się z innymi tym artykułem!