3side кибербезопасности

Белые хакеры или кибербезопасники? Выскажусь и я по этой теме, только сегодня давал комментарии одному из СМИ ровно про это. Мне как технарю гораздо ближе позиция Юрия Максимова, поясню: - Слово "хакер" действительно ранее не имела негативной коннотации, это означало специалиста высокого уровня в IT/ИБ. - Весь негативный контекст возник в первую очередь из-за СМИ, которые применяли это слово к киберкриминалу, не особо разбираясь "в цвете". Все привыкли что "хакер" это что-то плохое. - Сама градация по цветам "белый"/"черный" - мне не очень нравится, но это появилось из-за адаптации англоязычных шляпных терминов "black hat"/"white hat". Как мне сказали в одном бизнес клубе, эта цветовая история создает впечатление что "легко перекраситься из белого в черный или наоборот", а это не так. - Само слово хакер, это некая самоидентичность людей с особым мышлением, хорошо об этом сказал Денис Баранов, и написали тут. Итого: слово "хакер" мне нравится, и я бы за обеление самого слова, чем за его замену!

10.0 Critical - Samba теперь дыра Помните эпидемию WannaCry 2017 года? Тогда из-за уязвимости(ms17-010) на выполнение кода в виндовом SMB пострадало множество компаний. Линуксоидам приготовиться, теперь ваша очередь! В крайне популярном пакете Samba (опенсорсный SMB AD) обнаружили следующее: - Несанкционированные NetBIOS имена в регистрационных пакетах передаются без какого либо экранирования. - Достаточно отправить пакет с командой, чтоб она выполнилась. Как и в 2017 году, но уже под опенсорс, для взлома достаточно видеть лишь порт уязвимой службы! Идентификатор уязвимости - CVE-2025-10230. Публично уже есть есть PoC, использовать как обычно с осторожностью. Внутрянка на линуксовой инфраструктуре на ближайшие месяцы, или даже годы, упроститься! Защита? Обновляем Samba.

Подсветили и устранили Помните историю с тем, что Мираторг лишь по номеру телефона показывал данные о покупателях на терминале самообслуживания? Исследовательница Катя Тьюринг, с которой и началась эта история, обратила внимание, что благодаря огласке и хайпу, эту проблему достаточно оперативно устранили! Вот от нее уже свежее фото, стало значительно лучше)

Всем привет! Небольшая бизнесовая новость. Мы теперь не только агрегатор услуг в ИБ. Мы работаем с несколькими очень хорошими IT-юристами с прям очень крутым профильным опытом (налоги, например) и чуть более чем адекватными условиями. Плюс у нас появились классические IT-партнеры, разные, под очень разные задачи — от обычного аудита до высоконагруженных систем. Уже сделали несколько проектов и результаты пока очень радуют. В том числе, беремся под разные нестандартные и "тонкие" задачи и в разовом формате, и под сопровождение. 3side постепенно обрастает разными направлениями, плюс 4security превращается в очень интересный "бесчеловечный" продукт, по нему, я надеюсь, будут еще большие новости до нового года.

Выступаю на Underconf 2 В это воскресенье буду выступать на конференции ИБ-сообществ Underconf! Сделал максимально практический доклад по реверсу актуальных мошеннических скриптов, использующихся в колл-центрах. Минимум теории, максимум примеров! В таком…

А правда, что Макс безопаснее, чем Телеграмм и лучше защищает от мошенников? Нет, это скорее всего не так. Точнее, мессенджер — это только один из многих заменяемых инструментов мошенников, и сделать его по-настоящему безопасным и удобным очень тяжело. Посмотрим с другой стороны. С точки зрения оператора колл-центра, разницы между мессенджерами вообще никакой нет. У него есть CRM-система с информацией по "цели", у него есть приложение для звонков. Он вводит логин-пароль, подключается к заранее сконфигурированному серверу и делает звонок. Способов много: есть сим-карты, аккаунты в ТГ, в Максе, в Whatsapp. Еще раз: в CRM-системе звонков нет, всю проблему решает сервис SIP-телефонии. Чтобы работать через ТГ, колл-центры покупают аккаунты там. Или в Максе. Есть десятки сервисов с виртуальными номерами (иронично, но многие из них забанены в России), да и купить российскую сим-карту нет великой проблемы. Как, кстати, и украинскую, но это тема для отдельного разговора. В общем, мошенники покупают прием СМС на российский номер и ... все. У них есть аккаунт, с которого они могут вполне себе эффективно звонить — к слову, даже статистика ЦБ подтверждает, что большинство звонков мошенники все еще совершают с использованием "обычных" звонков, то есть через сим-шлюзы. Их держателей регулярно арестовывают, оборудование изымают (по ссылке очень типичный перечень), но в целом гораздо большую проблему для мошенников создает регулярное отключение интернета в российских регионах. Правда, россиянам оно создает проблему ничуть не меньшую. Кстати, сим-шлюзы используют по всему миру, в том числе мошенники. Тут эталонный пример — китайские группы, специализирующиеся на телекоме. Кстати, недавно китайцы задержали 57 тысяч (!!!) собственных граждан, подозреваемых в участии в работе скам-центров в Мьянме. Да, 57. Да, тысяч. Да, цитата по русскоязычному Синьхуа. В ЮВА вон огромный спрос на ID местных граждан для тех же целей. И это мы не говорим про экзотические способы, вроде мобильных базовых станций (по-сути "левые" вышки сотовой связи, подключившимся можно звонить с подменой любого номера). И тут проблема в том, что факт сотрудничества или не сотрудничества мессенджера с правоохранительными органами не меняет ничего. Если бы Макс был лучше защищен, стоимость аккаунтов в нем была бы сильно выше, чем в ТГ — но это не так. Будут ли там быстрее блокировать мошеннические звонки? Возможно. Если сделают это качественно, будет здорово. Если сделают некачественно — в очередной раз оттолкнут пользователей. Проблема мошенников не решается блокировками, переходами на судорожно собранные "национальные мессенджеры", и указами уважаемых людей, запрещающих мошенникам мошенничать. Реально они решаются сложным и муторным комплексом мер, часть из которых в России реально проводится. Только совместными усилиями банков, операторов сотовой связи, криптоиндустрии и правоохранительных органов объем потерь можно сократить. А блокировки только создадут больше проблем, чем решат.

Интересный сюжет о разработке кибероружия в США подкинул U.S. Department of Justice. 29 октября они опубликовали на своём сайте новость о судебном процессе. В ней фактически признаётся, что США занимаются целенаправленной разработкой кибероружия, т.е. средств эксплуатации 0day-уязвимостей. Вендорам уязвимых продуктов они об этом, естественно, ничего не сообщают. 😏 В создании таких средств участвуют компании "оборонные подрядчики" ("U.S. defense contractors"). Одна из таких компаний (Wired пишет, что это Trenchant) разрабатывала ПО, связанное с нацбезопасностью и "как минимум восемь чувствительных и защищённых компонентов кибер-эксплойтов". Хотя это ПО предназначалось только для правительства США и союзников, ТОП-менеджер этой компании продал его за $1.3 млн некоторому иностранному брокеру. 🤷‍♂️ Ущерб компании оценивается в $35 млн. Менеджер признал себя виновным в суде, ему грозит до 20 лет тюрьмы и штраф от $250 000 до 2x ущерба. Такой вот кипеш из-за "простых уязвимостей". 😉 @avleonovrus#thoseamericans

"Медуза" не долго поработала по РУ Трое киберпреступников написали вирус-стиллер "Медуза". Ее целью был сбор данных об учетных записях, банковских картах, криптокошельках и прочего полезного с зараженных компьютеров. Продавали они "Медузу" по модели Вирус-как-сервис (MaaS), и судя по их длительной деятельности все у них было хорошо, пока в мае этого года кто-то из их покупателей не использовал их вредоноса для атаки на учреждение Астраханской области! После чего, в результате качественного расследования и деанонимизации все трое создателей вируса оказались задержаны. А группировка "Stone Wolf", как их пафосно называли исследователи BI.ZONE в своем расследовании еще от августа прошлого года, судя по всему их клиенты. P.S. За видео спасибо Коммерсанту!

Нет гарантий в криптосфере Децентрализованная биржа Balancer с момента своего запуска в 2021 году провела больше 10(!) аудитов своих смарт контрактов на предмет их безопасности. Однако, бирже это не помогло. За вчерашний день было украдено более 110 миллионов долларов в криптовалюте, из-за одного единственного бага в смарт-контракте. Биржа вынужденно остановила работу, чтобы предотвратить дальнейшую утечку денег из пула ликвидности. Помните, любая система уязвима, и, занимаясь кибербезом, вы лишь снижаете шанс успешной атаки, но совсем не до нуля! Теперь отдельные вопросы к аудиторам, как они просмотрели такое? Ждем оправданий! P.S. Смена подрядчиков тут не помогла, аудировали 3 разные фирмы, хотя финальные исполнители могли пересекаться, зная рынок кибербеза)

Ограбление Лувра Знаете, чтоб обнести один из известнейших музеев мира на сумму не менее 88 миллионов евро понадобилось: - Припарковать погрузчик у одного из фасадов музея, для проникновения на территорию. - Угадать пароль "LOUVRE" (Лувр) от системы видеонаблюдения и отключить ее. - Угадать пароль "THALES" от системы охраны вендора Thales и отключить ее. - Взять с собой несколько пил-болгарок и мешки. Узнали это корреспонденты французской газеты из документов 2014 года, которые были актуализированы без смены паролей в 2024. Феноменальные дыры в безопасности и вот к чему они привели!

Приветствуем всех! Октябрь подходит к концу и мы успели провести для вас два вебинара на актуальные темы. 21 октября мы погрузились в индустрию шифровальщиков. Разбирали по полочкам: — от истории до современного состояния индустрии; — как устроена экосистема изнутри; — ключевые стадии атаки и их цели; — и, конечно, как выстроить защиту от вымогателей. Запись вебинара | Презентация А ближе к концу месяца, 28 октября, мы объединили силы с друзьями из КоинКит, чтобы поговорить о защите в криптоиндустрии. Вместе мы: — объяснили, чем на самом деле занимается AML; — определили главные точки входа для атак и самые частые угрозы; — разобрали на реальных примерах, как происходят взломы; — отдельно обсудили кибербезопасность криптокомпаний и их топ-менеджмента. Запись вебинара | Презентации

Что общего у современных криптопроектов с первыми российскими предпринимателями XVI века? И тогда, и сейчас успех определяло не столько умение зарабатывать, сколько способность защищать свои активы в условиях неопределенности, воровства и мошенников. Однако…