3side кибербезопасности

С NetNTLM на Kerberos за 23 года? Уязвимости и недостатки сетевого протокола NTLM (NT LAN Manager) были известны Майкрософт и всем исследователям с момента его появления в 1990 году. А более защищенный и современный протокол аутентификации Kerberos стал протоколом по умолчанию в Windows с 2000 года. Но что мы видим до сих пор? Сетевые атаки на все еще использующийся NTLM, все еще в топе у злоумышленников и пентестеров, потому что они эффективны и работают практически везде. Протокол работает в сетях "на всякий случай" и для поддержки ПО, которое старше автора данного поста. Теперь же Майкрософт предлагает окончательно отправить устаревший протокол на свалку истории, а Kerberos дополнительно усилить. Интересно, сколько он еще проживет в сетях компаний с той же формулировкой "на всякий случай" или "чтоб точно все работало"? Вечность.

Хактивизм и кнопка «нарушить закон» Иногда достаточно осмысленно нажать одну единственную кнопку, чтобы нарушить закон и с определенной вероятностью за это сесть в тюрьму. Но давайте по порядку. Хактивизм - использование незаконными способами компьютеров и компьютерных сетей для продвижения каких-либо идей. Способ известный еще с 2010ых со времен первых хактивистких атак от Anonymous и именно тогда за участие в хактивизме свободы лишились подростки/домохозяйки и прочие сочувствующие, которые не имея никаких специальных знаний поучаствовали в DDoS атаках. Как они это сделали? С помощью ПО LOIC (Low Orbit Ion Cannon), которое требовалось лишь скачать, вбить адрес цели, который предоставляли Anonymous и нажать кнопку "GHARGING MY LASER". Все, компьютер начал участвовать в атаке генерируя запросы к серверу-жертве. Участие в атаке, умысел больше и не нужно ничего, чтобы за это осудить, что и было сделано. Ну а что сейчас? В 2023 году LOIC регулярно распространяют с теми же самыми целями, и в виде отдельного ПО, и в виде web-версии. Например, есть такой сайт, запущенный буквально позавчера fuck-hamas[.]com для атак из браузера на сайты СМИ ХАМАС. Пока кнопка нажата, и вкладка браузера открыта, браузер участвует в атаке и подставляет владельца. Правда эффективность за более чем 10 лет у LOIC сильно снизилась, современные системы очистки трафика довольно просто отсекают подобное, но если сделать упор на массовость какие-то ресурсы уложить можно. Не стоит думать, что участников много и вас просто не заметят. Какие бы цели не декларировались, не стоит нарушать закон. #3side_безполитики

DirtyNIB — Apple не исправили 0-day за 2 года. Тут один исследователь рассказал офигенную историю. Если коротко: он обнаружил, что в пакетах приложений в macOS можно подменить NIB-файлы, и они выполнятся в обход существующих методов защиты! Впервые он сообщил об этой проблеме в Apple еще в ноябре 2021 года. После обмена МНОГИМИ электронными письмами он получил несколько подтверждений того, что проблема будет исправлена. Но за два года все попытки как-то исправить уязвимость были лишь косметическими, она до сих пор работает с минимальным изменением способа эксплуатации и пережила выход аж двух новых версий MacOS (Ventura, Sonoma)! В итоге исследователь решил, что выполнил все правила ответственного раскрытия и опубликовал новость в своем блоге. Таким образом он надеется повлиять на Apple и поспособствовать скорейшему закрытию уязвимости. Крайне осуждаем Apple за это!

Про блокировки клиентов VPN-провайдеров Судя по всему, с помощью нового закона Роскомнадзор пытается заблокировать клиенты приложений VPN провайдеров, которые нужны для подключения зарубеж, а не условные клиенты OpenVPN/Wireguard и прочие, которые позволяют подключаться к любым серверам по стандартным протоколам. По-сути, происходит планомерная попытка запретить существующие способы обхода блокировок. В первый раз она была, мягко говоря, неудачной – сейчас к вопросы пытаются подойти более грамотно. Те, кто живет в СпБ, в Екатеринбурге и некоторых других городах уже заметили, что у некоторых интернет-провайдеров ВСЕ стандартные VPN-протоколы перестали работать в случае, если трафик уходит за пределы рунета. Внутри России же всё работает, в принципе, как оно и должно, ведь VPN нужен бизнесу. Поэтому можно сделать вывод, что в ближайшее время Ростелеком и другие провайдеры полноценно заблокируют возможность подключения по стандартным VPN протоколам зарубеж. Более хитрые способы подключения, очевидно, еще будут работать какое-то время, возможно даже достаточно долго или всегда. Но массового распространения они, вероятно, не получат, ведь для этого стандартного клиента недостаточно и нужно запускать собственное приложение. Именно для борьбы с приложениями VPN провайдеров Роскомнадзору и нужен этот закон, который требует от Apple и Google удаление приложений из магазинов. Без подобных приложений у большинства пользователей России не будет возможности обойти блокировки. Но что могут сделать VPN провайдеры? То же самое, что и санкционные банки России делают прямо сейчас. Выпускать новые приложения с мутными названиями аля «СБОЛ» или «Деньги» и быстро оповещать пользователей, чтоб успели скачать до удаления из маркета. Как видим тактика хорошо работает для банков, значит сработает и тут. А значит РКН придется придумать что-то еще, противостояние продолжается!

BrainSploit. Эксплойты социальной инженерии. Конференции по информационной безопасности не очень любят доклады по социальной инженерии. Особенно если доклад про социальную составляющую, а не про новый вид вредоносной нагрузки. А вот крупнейшая IT конференция заинтересовалась! Поэтому именно на Highload 2023 27-28 ноября я и расскажу доклад на стыке ИБ, психологии и немного нейрофизиологии. О том, как именно работают эксплойты для нашего мозга. Почему таким образом "взломать" можно любого из нас, как защищаться и как атакуют опытные злоумышленники из мошеннических колл-центров. Обязательно разберем их скрипты, мои скрипты, опробованные в легальных проектах, и другие показательные примеры! Кто будет на конференции - приходите, подобное еще никто не рассказывал.

3side сториз Привет! Мы тут долго думали о том, нужны ли нам сториз и о том, как их использовать. Мы посмотрели на опыт многих каналов и поняли, что зачастую они ими просто по настоящему не пользуются.Что мы точно не хотим и не будем делать — это постить туда мемы. Весело, забавно, но это корпканал, и он не про это. Мы хотели бы спросить подписчиков, если бы у нас были сториз, хотели ли вы видеть там наиболее любопытные по нашему мнению новости по кибербезопасности? Формат: скриншот заголовка + ссылка в описании на саму новость. Спамить ими не будем, как не спамим постами, не наш формат. А опроса не будет, если хотите и у вас есть премиум просто голосуйте за нас по ссылке! https://t.me/By3side?boost

Еще один случай "поджигающего" мошенничества. И снова знакомый скрипт — сначала "развести" на деньги, потом предложить возврат за конкретное действие на камеру. И мы уверены, что мошенники обмениваются опытом и обмениваются "лучшими практиками", и еще конкурируют между собой. Такой вот печальный эталон "социальной инженерии". Так что снова напоминаем, в любой непонятной ситуации — бросайте трубку.

JetBrains TeamCity критическая уязвимость Всем срочно ставить обновления до 2023.05.3. Обнаруженная уязвимость с CVSS 9.8/10. Удаленное выполнение кода на уровне приложения с обходом аутентификации, в ближайшее время все уязвимые необлачные сервисы будут атакованы. Облачное решение не подтверждено уязвимости. Номер уязвимости CVE-2023-42793.

Биометрия - не зависит от секретности. И в этом ее суть и сила. Представим, что вы встречаете вашего друга, как вы определяете, что это он? По биометрии! Лицо, голос, походка, поведение и многое другое вам известно, вы видите, что это все совпадает, и перед вами он из плоти и крови. Также должна работать и хорошая биометрическая система, она сравнит параметры и определит, что это действительно этот человек. Ничто из сравниваемых параметров - не секрет. Лицо вашего друга есть на множестве фото и его видят коллеги, голос слышат множество людей в день, походку может увидеть любой прохожий на улице, поведение хорошо знают друзья и неплохо знают коллеги, да и на видео его можно подсмотреть. Даже отпечатки его пальцев можно снять с практически любой поверхности или даже восстановить по фото! Об этом мы писали вот тут. Но если все не секрет и все можно подделать, то на чем должна строиться стойкая биометрическая аутентификация? На "живности" (liveness), а не секретности. Вы ведь можете вживую отличить вашего друга от его фотографии, статуи/восковой фигуры, от человека в его маске или его брата близнеца (если вы его хорошо знаете)? Конечно, может быть профессиональный двойник, очень похожий и копирующий все привычки. Но в реальном мире, а не шпионском боевике это маловероятный и крайне дорогой сценарий! Если вы человека не знаете, вы можете попросить показать его паспорт и сравнить фото, с его лицом, а также сравнить его подпись на документах. Но в сравнениях всегда участвует живой человек, а не два фото. Такой же принцип работает в цифровой сфере, везде критически необходимо проверять "живость". При верификации фотографии обычно просят сделать определенный жест или выражение лица. А система распознавания радужной оболочки от Sensar отслеживает «движение гиппуса» — постоянное смещение и пульсацию, происходящие в глазу, так определяют, что это действительно живой глаз. Для определения "живости" лица могут использоваться и многие другие параметры, например: - Температура поверхности. Отсекает множество некачественных масок, они остаются холодным. - Рельеф лица. Маске придется повторять идеально повторить форму отличную от лица носителя. - Рисунок сосудов лица. Патент 2019 года описывает, что рисунок сосудов лица возможно распознать качественной камерой современного смартфона, а он уникален даже у близнецов. Текущие системы аутентификации на базе биометрии, к сожалению, далеки от идеальных, но они совершенствуются. Причем крайне быстро. Фактически источников "уникальности" уже достаточно, чтобы жизненные проблемы не помешали процессу аутентификации. Всегда можно использовать несколько источников, если с вашим пальцем что-то случилось, или ваше лицо пострадало. Но помните, что именно "живость" защищает биометрию от подделки. Устройства на базе биометрии должны уметь отличить живой образец, он чего-то искусственного. Секретность тут не причем, она дает лишь иллюзию защиты. Так что слив биометрии не дает ничего, ее и так получить не сложно. Пароли - фактор "Я знаю", уже активно уходит в прошлое. Токены - фактор "Я имею", наше настоящее. Биометрия - фактор "Я есть", наше будущее.

Для более 80% людей кажется, что ответ на этот опрос очевиден. Но это не так, почему это не так, читайте в посте ниже!

1С Bitrix критическая уязвимость Всем срочно ставить обновления до 23.850.0 или отключить модуль landing. Обнаруженная уязвимость с CVSS 10/10. Удаленное выполнение кода на уровне ОС без авторизации, поэтому в ближайшее время все уязвимые публичные битриксы будут атакованы. Как потенциальное временное решение – ограничить доступ к битриксу по белому списку IP-адресов, если это возможно. Номер уязвимости BDU:2023-05857.