3side кибербезопасности

Опасность Bluetooth-спам атак Мы уже писали вот тут о том, что подобные атаки стабильно вызывают перезагрузку IPhone, повторяли и тогда, повторили и сейчас. Несмотря на множество обновления с тех пор, все еще работает. Но это далеко не самое страшное. Мы тогда упомянули, что и Андроид устройства уязвимы к подобным атакам, но на популярных смартфонах спам работает, но добиться их перезапуска не получается. Но Андроид устройства и совместимые с ними устройтва, это не только телефоны, наушники и браслеты. Это еще и, например, инсулиновые помпы! Владелица одной из таких помп, сообщила, что ее Андроид устройство из-за спам атаки на Bluetooth перестало работать, и если бы она вовремя это не заметила, наверняка бы уехала в больницу. Flipper Zero, хоть и по документам "игрушка", дает зачастую совсем не детские возможности, помните об отвественности за свои действия! А вообще ждем патчей хотя бы на флагманы.

Экстремистская гирлянда Тут на днях случилось следующее — несколько человек по инструкции в интернете собрали себе Wi-fi гирлянды и установили на них некую прошивку, которая 1 января начала демонстрировать вместо поздравлений политические лозунги. Как минимум один владелец гирлянды получил административку за дискредитацию ВС РФ! Хотя так такового умысла с его стороны не было. Мы это к чему. Любые прошивки, находящиеся в открытом доступе, по умолчанию считаются скомпрометированными — если мы не говорим о чем-то, достаточно подробно исследованном и проверенном. Если кодом не пользуются на постоянной основе тысячи человек, если его не используют крупные компании, если он не разобран специалистами по ИБ, есть как минимум ненулевой шанс столкнуться с закладкой. И вот тут мы приходим к понятию "бытовой безопасности". Использовать непроверенные приложения — это примерно как покупать молоко у непонятного продавца на рынке. Скорее всего, все будет хорошо — но риски есть, и гарантий качества вам никто не даст, если вы сами не знаете этого человека. С софтом похожая история. Крупные сетевые магазины тоже не всегда проверяют качество, но у них обычно столько клиентов, что о проблемах вы узнаете сразу. Так что будьте осторожны.

Всем привет и с наступающим! Это был очень интересный год. По-сути, первый полноценный год работы 3side — в конце 2022 у нас появились первые серьезные заказы. Много ли было сделано? И да, и нет. С одной стороны, компания уже давно существует без сторонних инвестиций, мы развиваемся и ищем людей. С другой стороны — конечно, хочется всего, сразу и побольше. Мы очень рады, что наши клиенты возвращаются к нам. Особенно рады мы были, когда к нам пришел один из первых заказчиков — практически через год! ИБ — очень консервативная сфера, мы прекрасно осознавали, что будет сложно, но пока полет вполне нормальный. Могло быть лучше, могло быть хуже, но проект чуть более чем жив. Какие планы на новый год? Самое главное — систематизация продаж. Здесь и сторонняя лидогенерация, и партнерские программы, и прямые продажи, и некоторые другие вещи. За год у нас многое изменилось — от позиционирования продукта до понимания необходимости некоторой собственной разработки. А еще мы поняли, что мы — "внешний проектный офис" и хорошо увидели наш бизнес глазами клиента. Был интересный опыт. Познакомились с множеством отличных людей, которых мы очень надеемся увидеть снова и много раз. Вообще, именно люди — пожалуй, главное открытие этого года. Мы удивлены тому, какое количество совершенно разных людей нам помогало — и совершенно бескорыстно, и видя в нас возможных партнеров, и просто проникнувшись идеей. И это очень круто. Мы рады, что у нас появляются новые стратегические партнеры и возможности. Надеемся, что в новом году вместе с ними мы построим что то большее. Верим, что новый год будет лучше предыдущего — для всех нас. С наступающим!

Российские мошеннические колл-центры Помните, как в начале 2010ых активно работали колл-центры из мест заключения? Ходили еще шутки в стиле "Вам ответит первый не освободившийся оператор". Проблему решили, колл-центры прекратили свое существование. А что сейчас? Колл-центры на территории России есть? Да, такие бывают, но они очень редки. Ведь если до зарубежных наше правосудие дотянуться не может, то до этих дотягивается, и еще как. Например, в декабре начался процесс сразу по двум мошенническим колл-центрам. Один процесс в Москве, второй в Петербурге. Суммарно 16 фигурантов. Какие схемы? Стандартные "зарубежные" схемы. Звонки от имени Центробанка или службы безопасности какого-либо банка, просьба или скачать вредонос для удаленного управления телефоном, или сразу перевести деньги на "безопасный" (мошеннический) счет, или хотя бы сообщить все реквизиты карт. В последнем случае оформляли заказы сразу, просили сообщить смс-код от 3ds. Как выводили деньги? Одни конвертировали в криптовалюту и выводили зарубеж. Вторые по "вещевой" схеме, покупали дорогие товары, чаще всего технику и сбывали их через свои торговые точки. У одной из групп была даже своя точка в Москве на известной "горбушке". Большие будут сроки? Да, мошенников объединили в преступное сообщество, потерпевших более 240, ущерб почти 85 миллионов. Про самую большую группу писал Коммерсант.

Угнали Телеграм, что делать? Обычно если к нам приходят с таким запросом, то приходится долго и подробно расспрашивать об обстоятельствах. Куда и что ввели? Была ли двухфакторка? Могут ли сейчас сами зайти в аккаунт? И прочее прочее. Но наконец в одном из чатов увидели отличную подробную инструкцию! Там написаны ответы на все типовые вопросы, от восстановления, до типичных способов взлома и даны исчерпывающие рекомендации. Спасибо авторам, теперь зачастую достаточно отправить ее.

BrainSploit. Эксплойты социальной инженерии. Конференции по информационной безопасности не очень любят доклады по социальной инженерии. Особенно если доклад про социальную составляющую, а не про новый вид вредоносной нагрузки. А вот крупнейшая IT конференция…

Уязвимый CS2: Counter-Terrorists Alert('XSS') Игроки обнаружили, что если поставить себе ник в виде HTML-кода с медиафайлом, то при попытке голосования на кик игрока файл будет воспроизведен! Используют это в основном как шутку, проигрывая всякий запрещенный и шок-контент. Но что потенциально еще можно сделать? Эта уязвимость выглядит как Хранимая XSS (Cross-site Scripting), и какой-никакой код выполнить можно. Например, с помощью нее уже продемонстрировали разглашение IP-адреса жертвы, которая подгрузила этот медиа-файл (видео 2). А что еще? Для заражения системы игрока этого явно будет мало. Для этого нужна связка из подобной уязвимости и уязвимости на выполнение кода в самом движке игры. И такая уже была! Но в прошлой версии CS. Чтож даже гигантам геймдев индустрии явно не хватает компетенций по информационной безопасности. P.S. За видео спасибо каналу Good Game.

Intel, AMD и Arm поймали SLAM Вот тут мы уже писали про спекулятивное выполнение и близкие к этому уязвимости в процессорах Intel. Но, случилась ситуация еще интереснее! Каждый производитель старается внедрить в свои новинки новейшие средства защиты. И вот все внедрили схожие механизмы защиты адресов, которые получили названия: - Linear Address Masking (LAM) у Intel - Upper Address Ignore (UAI) у AMD - Top Byte Ignore (TBI) у Arm Но проблема в том, что все три механизма защиты оказались уязвимы к Spectre-подобным атакам! Тот самый случай, когда поторопились с внедрением защиты и сделали еще хуже. Атака, как и ее родственные аналоги, позволяет извлекать данные обрабатываемые на одном процессоре, что особенно опасно на хостингах. Новую атаку и назвали SLAM, ее подробное описание тут. Для технарей видео с демонстрацией атаки тут. Какие процессоры уязвимы? Если кратко, все будущие новинки. Посмотрим, что с этим будут делать производители. Надеюсь, что иск к Intel их отрезвил, и глаза они не закроют.

Пример эксплуатации бага в ChatGPT

Раскрытие личных данныхChatGPT Найден баг в ChatGPT раскрывающий данные, похожие на обучающую выборку. Самое интересное в статье то, что ChatGPT при эксплуатации бага раскрывал не просто обучающие данные, а личные и конфиденциальные данные! Например, номера телефонов, адреса электронной почты и прочее. И когда этот баг закроют, данные все равно останутся внутри, до следующего бага, проблема гораздо глобальнее. Пример эксплуатации в следующем посте! P.S. С Гигачатом повторить не удалось, привел скрины попыток в посте. Но если вдруг у кого получится, смело пишите нам в личку @TG_3side - опубликуем!

3side ищет менеджера по продажам. Мы развиваемся, стартовый этап пройден успешно, шишки набиты, грабли найдены. И готовы делегировать продажи. Кратко о вакансии: B2B, нужен IT/ИБ бэкграунд в продажах, готовность выстраивать холодные продажи. Удаленно, полностью белое трудоустройство. В чем отличие: наше конкурентное преимущество - наша бизнес-модель. Она гибче, чем рынок, она прозрачнее, она справедливее. Ну и по опыту, она в 2-3 раза дешевле для заказчика. Так что продавать будет что и будет кому. Подробности на HH, откликаться можно там или пишите в @TG_3side!

Убийственная публичность Тут CNN писало, что убийство бывшего командира подводной лодки Станислава Ржицкого скорее всего стало возможным благодаря использованию им приложения для занятий спортом Strava. Погибший делился там маршрутами своих пробежек и достижениями. А вот тут начинается самое интересное. Данные трекера были в публичном (!) доступе, ФИО, фото и ник погибшего тоже достаточно легко находились в открытом поиске. Судя по всему, кто-то сложил два и два. Вот его аккаунт. Причем это не первая история -- раньше при помощи фитнес-браслетов и подобных трекеров находили и секретные американские базы, и маршруты пробежек американских военных. Так что ничего нового. Так что неаккуратное обращение с некоторыми приложениями может стоит жизни. Это касается военных, некоторых бизнесменов и других лиц, чьей безопасности что-то может угрожать. В ВС РФ стараются исключить использование Whatsapp, из-за расширенного потенциального доступа к нему спецслужб. Но тут и особого доступа не нужно, все данные человек отправил сам. В общем, людям, опасающимся за свою безопасность, точно стоит относиться к подобным безобидным приложениям очень осторожно. #3side_безполитики