3side кибербезопасности

͏Мы хотели было написать очередной новостной пост по следам последнего отчетаSecurity Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?! Две критичные уязвимости были выявлены и закрыты еще в марте этого года, а в апреле в паблике появился их эксплойт. Между тем, как утверждают Security Joes, в сети доступны более 52 тысяч экземпляров MinIO, из которых только 38% обновлены до неуязвимой версии. В России, кстати, всего наружу торчит около 1800 MinIO, а значит примерно 1100 установок дырявые. Если админ за полгода (!) не обновил один из ключевых объектов своей инфраструктуры, то нам его совершенно не жаль - он просто мудак. И его начальник, который его держит на должности - мудак. И директор HR, который нанял таких специалистов - мудак. И генеральный директор компании вместе с учредителями, допустившие такую кадровую политику в ущерб информационной безопасности своих данных, - мудаки. Нам их всех ничуть не жаль, они должны страдать. Пора вводить новый вид атак - атака на цепочку мудаков. Она куда более распространена, чем атаки на цепочку поставок или цепочку зависимостей.

Ниже — очень, очень хороший и правильный текст. Первопричина множества успешных атак —именно специфическая "кадровая политика" некоторых компаний и желание сэкономить вот буквально на всем. А потом удивление: ой, как же так вышло, как же так получилось, ничего же не предвещало.

И вот практически сразу - материал для РИА Новости "Безопасник должен отлично понимать, что происходит у него в Сети, и знать обо всех возможных угрозах, — подчеркивает Антон Бочкарев. — Если на корпоративную почту пришла рассылка вредоносных писем, важно сразу проверить, кто их открывал, не заражены ли рабочие станции. Если удаленный сотрудник подключился из новой точки, нужно немедленно провести расследование".

Как взломать iPhone — интервью для "Вестей" Тут татарские "Вести" сделали интересный материал про современную прикладную безопасность, утечки данных и возможности слежки через телефон. Антон поучаствовал.

Атака на трейдеров через WinRAR Иногда для успешной атаки на трейдеров (в том числе крипто) вместо сложных схем используют уязвимости нулевого дня ... в ПО для архивирования. Для специалистов по ИБ ничего удивительного нет, но у нормальных людей вызывает удивление. К слову, сам архиватор уже пропатчили. Важно: для того, чтобы уязвимость реализовалась, мошенники распространяли ZIP-архивы на торговых площадках. Дальше жертва открывала запакованное изображение, которое запускало вредоносный скрипт, тот обращался к самораспаковываемому архиву, ну и понеслось (подробности тут). Не то, чтобы совсем новая история, но тут важно, что конкретной целью были трейдеры, арбитражники, да любой участник рынка. А вывод очень простой — по большому счету, активным участникам крипто-рынка рано или поздно придется менять привычки. Цифровой гигиены уже недостаточно, придется в какой-то степени стать безопасником для самого себя. Отделаться простой установкой антивирусного ПО уже не получится.

3side на КодИБ в Уфе Неделю назад приняли участие в очередном мероприятии от КодИБ — CyberSecurity SABANTUY в Уфе. Антон рассказывал про Zero trust, участвовал в круглом столе и вообще съездил очень удачно. Посмотрим на результаты, но пока довольно оптимистично.…

IT-конференция "Стачка" Для индустрии очень важно рассказывать на именно IT-конференциях про безопасность. Приходите на мой доклад "Безопасность/удобство глазами CISO". Он адаптирован именно для IT, для ознакомления и погружение в культуру кибербезопасности. По своей сути IT и кибербезопасность – антиподы. Как и их стремления сделать что-то удобнее и безопаснее. Оптимальный баланс для самого себя выработать не так сложно, но вот в компании все гораздо сложнее. В этом докладе я расскажу: - Об актуальных угрозы бизнесу от малого до энтерпрайза. - Какие бывают подходы к кибербезу в компаниях и что с ними не так. - Почему баланс всегда в движении и будет нарушаться. - Как взаимодействовать с пользователями и владельцами бизнеса. - Почему не работают только технические методы. - И как наконец найти тот самый стабильный баланс, подходящий именно вашей компании. Ульяновск. 15-16 Сентября 2023.

Уязвимости в крипте Исследовательская группа Fireblocks по криптографии обнаружила BitForge – серию уязвимостей нулевого дня в некоторых из наиболее широко распространенных реализаций протоколов многопартийных вычислений (MPC), включая GG-18, GG-20 и Lindell17 (да, на русском здесь). Многопользовательские вычисления остаются отраслевым стандартом безопасности кошельков, которым доверяют бесчисленные учреждения и розничные пользователи по всей отрасли. В рамках постоянных усилий по повышению безопасности MPC в области криптографии исследовательская группа Fireblocks проанализировала десятки общедоступных протоколов MPC и поставщиков кошельков. При этом команда обнаружила уязвимости нулевого дня в реализациях, используемых более чем 15 провайдерами кошельков цифровых активов, блокчейнами и проектами с открытым исходным кодом, которые позволили бы злоумышленнику с привилегированным доступом выводить средства из кошельков. В некоторых реализациях атака займет всего несколько секунд без ведома пользователя или поставщика. А теперь то же самое, но простыми словами. Про 0-day мы когда-то давно уже писали для РБК, это (грубо говоря) такие ультимативные уязвимости. "Владение" 0-day позволяет при должном умении проводить исключительно эффективные атаки, а сами по себе они стоят миллионы долларов. И в случае с криптой все это вдвойне опасно. Потому, что во многих случаях "откатить" транзакции практически нереально, а в случае с северными корейцами нереально еще и что-то сделать с атакующей командой. "Что ты мне сделаешь, я в Пхеньяне, кекеке". Особенно опасны 0-day в руках APT (Advanced Persistent Threat, грубо говоря, элиты от мира киберкриминала или state sponsored, про них мы тоже писали). Там в ход пойдет и социальная инженерия, фишинг, атаки на личные устройства — в общем все, что угодно. И именно пользователи криптокошельков — самая простая и понятная цель для них. Хотя при таких возможностях мы не удивимся, что скоро попытаются атаковать и биржи, и бриджи, да вообще все. А на фоне роста числа пользователей крипты в новом "фрагментированном" мире, прошлогодние 4 лярда потерь могу показаться цветочками.

Утечка данных агентов Израиля Об агентуре Израиля мы до этого писали комплиментарно, но вот и у них случился Инцидент. Именно так, с большой буквы. На одном из форумов продают базу 26 тысяч агентов Израиля по всему миру, что именно в этой утечке? — ФИО — Дата рождения — Email — Номера телефонов — Номер паспорта Этого более чем достаточно, чтобы однозначно идентифицировать человека. Но как проверить эту утечку? Спросить у Израиля. Никак, по сути она непроверяемая для исследователей/журналистов. Происхождение также неизвестно. Продавец согласен на продажу исключительно людям с репутацией на форуме. Примеры строк продавец согласен показать лишь в личных сообщениях. Редакции он ответил, что фамилия С****й присутствует в одной из строк.

П - популяризация Сейчас активно раскручивается новое IT-медиа "вАЙТИ" и нам предложили написать статью о том, как же развивать культуру безопасности в компании? Мы постарались простым языком об этом рассказать, с легкими и понятными примерами и небольшими лайфхаками. Отдельно остановились на том, что точно делать не нужно) Если коротко, самое главное — нужно искать золотую середину. Попытка "запрещать все" вредит бизнесу, "разрешить все" тоже вредит бизнесу, но иначе) А вот про то, как эту самую золотую середину искать — практически половина статьи))

СМИ и кибербезопасность — пример того, как можно круто писать про ИБ Мы уже как-то писали о том, что СМИ традиционно освещают проблемы ИБ крайне специфично, а их материалы часто далеки от реальности. Справедливости ради, так происходит далеко не всегда. Некоторые издания готовы и могут писать очень качественно, если индустрия совсем немного поможет им материалами и комментариями. И вау — все будет супер. Собственно, как это было — мы сами специально связались с "Бизнес-Онлайн", скинули цикл наших постов про мошеннические колл-центры, поджоги и социальную инженерию, издание (к их чести) предельно адекватно восприняло написанное и предложило нам просто прокомментировать их новый материал. Мы ответили на их вопросы в формате "комментарии эксперта", и у них вышел вот такой шедевр! И мы искренне рады, что приняли небольшое участие в его подготовке. Вывод — СМИ и индустрия вместе делают могут хорошо рассказать об очень важных и иногда достаточно сложных вещах.

State sponsored APT Каждый интересующийся кибербезом неизбежно сталкивался с аббревиатурой APT, гуглил расшифровку которая выглядела как APT (Advanced Persistent Threat) и яснее не становилось. На русский это переводится как "Постоянная серьезная угроза", стало яснее? Нет. APT - это высококвалифицированная хакерская группа, финансово мотивированная как и прочий киберкриминал, либо "State sponsored". State sponsored APT называют группы подконтрольные или даже находящиеся в штате одной из спецслужб какой-либо страны. Это или отделы, или внешние постоянные подрядчики, которые де-юре независимые, де-факто просто вынесенные за периметр службы. Соответственно и операции которые проводятся подобными APT группами - мотивированы интересами государств. Какие-то группы традиционно приписывают определённым странам, иногда с доказательствами, иногда голословно. Тема атрибуции (определения конечного исполнителя атаки) будет всегда политизирована, доказательства могут быть подтасованы и проверить их через независимые источники крайне сложно. Красивый не политизированный список APT-групп можно посмотреть на сайте Лаборатории Касперского. А политизированную версию с атрибуцией, например, на сайте MITRE. Чем же state sponsored APT отличается от киберкриминала, помимо своих про государственных, диверсионных и/или шпионских целей? - Уровнем мастерства/подготовки. Участники любых APT это зачастую бОльшие профессионалы. - Ресурсами. APT группы аккумулируют бОльшее количество уязвимостей нулевого дня, а остальное зависит от финансирования той страны к которой они принадлежат или собственного финансирования. - Целевыми атаками. Киберкриминал не ставит целью взлом конкретной компании, если не получается им проще перейти к иной цели. State sponsored APT же будут стремиться выполнить задачу любыми способами, они готовы даже ждать удачного момента. Свежий пример подобной атаки. SecAtor пишет со ссылкой на британцев, что уже как 2 года назад взломали Избирком Великобритании. Удачный взлом произошел в августе 2021 года, утекли данные всех избирателей за последние 8 лет. А узнали они об этом только сейчас. Фактически все 2 года абсолютно незаметно неизвестная APT-группа контролировала всю инфраструктуру организации и все ее коммуникации. Их цель понятна - шпионаж. Британцы сейчас, конечно же говорят, что ничего страшного не случилось, а угрозы выборам не было. Словом, пытаются замять историю.