3side кибербезопасности

Как Тинькофф клиентские данные с Госуслуг собирает Тут Тинькофф начал предлагать пользователям дать им доступ к данным пользователей с Госуслуг, мотивируя это требованиями 115-ФЗ (противодействие легализации доходов, полученных преступным путем). Сам банк пишет о том, что ему нужны данные паспорта, прав и других документов. Правда, в реальности он запрашивает доступ к ГОРАЗДО большему объему информации. Здесь и доходы, и НДФЛ, соцвыплаты, транспортные средства и недвижимость. В общем, информация выглядит откровенно избыточной. Объяснений тут может быть два. Наиболее friendly для банка — это упрощение жизни клиентов, по которым финмониторинг обнаружил сомнительные операции. То есть клиент не морочится со сбором документов, банк собирает все сам. Кстати, про 115 ФЗ для физиков они пишут вот так. Но реальность на наш взгляд куда прозаичнее. Под видом "упрощения жизни клиента", банк просто собирает пользовательские данные. Достаточно посмотреть цель обработки (второй скриншот), и там прямо написано: "формирование финансовых и нефинансовых предложений". То есть банк просто хочет больше данных для того, чтобы его модели работали лучше, а предодобренные кредиты лучше продавались и имели меньший уровень просрочки. Ни к какому 115-ФЗ (на который банк ссылается в письме) эта история, на наш взгляд, отношения не имеет. Мораль: смотрите, кто и зачем собирает ваши данные. Это история не только про банки (наиболее защищенные с точки зрения ИБ организации), но и про любые другие компании. Их интерес понятен — вопрос в том, хотите ли вы давать им эту информацию.

Пять стадий принятия кибербезопасности / Антон Бочкарев (Третья сторона) — запись выступления Антона с Saint HighLoad++ 2023. Компании приходят к ИБ довольно тернистым путем, как его пройти максимально безболезненно - тот еще вопрос. Доклад посвящен тому, как избежать ошибок на пути трансформации ИБ-функции в компании от состояния "что такое ИБ" до построения адекватных механизмов защиты. Антон рассказывал об этом впервые, но далеко не последний раз.

Вот, кстати, видео с одного из круглых столов (Артем там начиная с 1:47)

Форум агентства стратегических инициатив Мы всегда сложно относились к государственным агентствам. Точнее скажем так — мы привыкли, что они занимаются какими-то социальными историями, и или наглухо забюрократизированные, или просто нищие как церковные мыши. Иннополис (в котором мы зарегистрированы) предложил нам поучаствовать в форуме от АСИ. Мы не то, чтобы рвались, но согласились. На выходе получилось достаточно любопытное мероприятие (хотя для москвичей участвовать проще), с кучей интересных контактов. Некоторые все еще отрабатываем. Посмотрим, что из всего этого выйдет, но пока работа с АСИ производит достаточно приятное впечатление. Как будут новости - обязательно напишем. Из забавного — очень много людей из медийки, ну и в Ведомости попали. Точно о статусе партнерства с АСИ мы, я надеюсь, напишем на следующей неделе.

С чего начать построение ИБ в компании Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе. Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим. Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции). Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов. Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам. А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.

Аудит и анализ защищенности vs пентест — как понять, что вам нужно? Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное. Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера. Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии. По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени. На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.

Почему иногда просят включить телефон/планшет на досмотре? Ответ для канала Александра Картавых. С начала 2000-ых телефоны активно взрывались. Чеченские террористы не только активно их использовали как детонатор, но и как вполне самостоятельное взрывное устройство. В таком виде в его корпусе от самого телефона оставалось мало чего, а основной объём занимала взрывчатка. Начиненный подобным образом "телефон-бомба" на проверке не включится, да и зачастую его корпус будет выглядеть необычно. В таком случае сотрудники досмотра, обычно предлагают зарядку, а если проверяемый отказываться от подключения устройства к сети, устройство изымают для изучения. А были ли те, которые включались? Да, конечно. Он даже звонил! Доподлинно известно о случае, когда телефон во время разговора передали жертве - высокопоставленному члену ХАМАС. После чего телефон взорвался, это была точечная ликвидация и работа спецслужб. Подобную операцию показали в современном сериале "Тегеран". Но очевидно, охрана в аэропорту и метро не должна ловить шпионов мирового уровня =) Защита от менее квалифицированных угроз. Почему просят не всегда? Любая проверка избирательна, да и уровни тщательности досмотра зависят от множества факторов. Поэтому в одном и том же аэропорту/метро в зависимости от "усиления" какие-либо проверки могут быть обязательными, выборочными или их может не быть вовсе. P.S. Зашел я как-то в аэропорт в Чехии, просто зашел через раздвижные двери. Оказался в зоне регистрации, и меня остановила мысль "Я зашел там, где выход, где охрана? Она меня сейчас остановит?". Через секунду вспомнил, я в Чехии, тут нет проверок на входе в аэропорт, тут аэропорты не взрывали.

Лицензия ТЗКИ — как выглядит «шапочка из бумаги» Сегодня хорошие люди в очередной раз спросили нас о том, есть ли у нас лицензия ТЗКИ. И услышав «нет» — задали вопрос, в чём причина. Так вот — мы точно знаем, что наша деятельность не попадает под требования ТЗКИ. Но, кажется, скоро мы её оформим просто для того, чтобы избежать вопросов, благо это не сложно. Теперь о том, что это такое. ТЗКИ — это лицензия ФСТЭК, дающая возможность заниматься работами в области кибербезопасности. Чтобы её получить, нужно иметь 3 сотрудников (одного на полный день) с релевантным опытом и образованием, а также иметь соответствующее помещение. Ещё софт, компьютер, юристы, подготовка заявки, но это всё вопросы технические, и их решение давно отработано. О чём говорит наличие у компании, занимающейся ИБ, такой лицензии? О том, что она потратила немного времени и немного денег, чтобы её получить. Говорит ли она о компетенциях компании? Нет. Приведу простой пример. Допустим, я (Артём), хочу создать интегратор ООО «Рога и Копыта». Я думаю — окей, мне нужна лицензия! Я нанимаю Антона (на полный день), ещё пару знакомых парней с опытом в ИБ на part-time, снимаю офис в Ново-Мухоморово, трачу немного денег на аутсорс всего остального и... всё. Через 3 месяца у меня есть лицензия. При этом сотрудники (кроме главного) будут числиться у меня номинально, и платить я им буду 3 копейки — они всё равно на меня не работают. Вот только реальных сотрудников у меня всё ещё не будет — я могу прикрываться сертификатами Антона и парней, участвовать в тендерах, но в реальности всё, что я могу — перепродавать контракты. Причём если я совсем жадный, то продавать я их буду студентам (зря что ли Антон лекции свои читает), а парней попрошу посмотреть, совсем треш они сделали или прокатит. При этом с точки зрения наличия лицензии — я молодец. А с точки зрения здравого смысла — не очень. Тут классическое «автомат купил, воевать не купил», и лицензия в реальности превращается в подобие патента, необходимого для работы. А для клиента, лицензия у исполнителя работ — это шапочка из бумаги. Она не защищает ни от чего и ничего не гарантирует. В общем, мы это всё к чему. Лицензию мы, конечно, получим. Вот только от её наличия мы ни лучше, ни хуже не станем.

Утечка данных шпионского ПО Если и ставить приложения «родительского контроля», то легально и известных компаний. Чтобы не случилось как с LetMeSpy. Это классическое Android -приложение для слежки, которое устанавливалось на разблокированный смартфон, старалось скрывать себя в системе и отсылало данные своему хозяину. Формально, если установить его, не имея на это прав, можно попасть под статью УК РФ, а то и под несколько статей. В 2023 году официальный сайт приложения гордо заявлял, что ПО успешно выполнило свою задачу на 236 000 устройств! И вот произошла утечка, что утекло? - Информация о 26 000 клиентах бесплатной версии, включая хэши их паролей. - 13 400 точек геолокации (России не видно, но видна Беларусь) - Журналы звонков, смс-сообщения. Включая коды двухфакторной аутентификации и пароли от сервисов! При этом часть данных хранилось аж с 2013 года, хотя разработчики утверждают, что удаляют данные через 2 месяца бездействия. К слову, разработчик ПО проживает в Польше и не скрывает свою личность, интересно не нарушает ли ПО законодательство ЕС? Ему пришлось уведомить об утечке польских регуляторов, возможно к его компании теперь присмотрятся. Инцидент этот не уникальный, в 2018 году был взлом похожего приложения «TheTruthSpy», в 2020 утекло из приложения «KidsGuard» и так далее. Администрация канала в целом не разделяет подобные методы контроля и скрытой слежки за детьми, но при острой необходимости ищите легальные решения от известных производителей. Такие на рынке есть.

Итоги взлома сети преступной связи Encochat В июле 2020 Европол провёл операцию по взлому и ликвидации защищенной сети связи, используемой преступниками. Мы привыкли, что самые крутые операции проводит ФБР, но не в этом случае. Тут постарались Нидерланды и Франция. Encochat был, по сути, телефонной сетью с максимальным уровнем защиты и анонимности. Каждый защищенный крипто-телефон на Андроид стоит 1000 евро, а подписка на сервисы связи стоила 1500 евро за полгода. На днях были раскрыты данные о пользователях и об итогах работы правоохранителей. Кто пользовался их услугами? — Участники классических ОПГ (34,8%) — Участники наркотрафика (33,29%) — Специалисты по отмыванию денег (14%) — Киллеры (11,5%) — Торговцы оружием (6,4%) — Остальные (00,01%). Но что в итоге? Ошибки создателей сети привели к её взлому и следующим результатам: — Арестованы 6558 человек, из которых 197 были особенно ценны для следствия. — Суммарно им грозит 7134 года тюрьмы. — Конфискованы 739,7 миллионов евро наличными. — Заморожены активы на счета на 154,1 миллионов евро. — Изъято 30,5 миллионов наркотических таблеток. — Изъято: 103,5 тонны кокаина, 163,4 тонны каннабиса и 3,3 тонны героина. — Конфискованы: 971 автомобиль, 83 лодки и 40 самолетов. — Наложен арест на 271 объект недвижимости. — Изъято: 923 единицы оружия, 21 750 единиц патронов и 68 взрывчатых боеприпасов. Видимо создатели недооценили риск взлома.

Внимание, провокации! На фоне всего происходящего, мошеннические колл-центры активно подключились к повышению общей напряженности. Обзванивают абонентов по своим базам, призывают много к чему, например выходить на акции протеста. Представляются структурами ЧВК "Вагнер". Не поддавайтесь на провокации! Не забывайте, что вам звонят мошенники. Кладите трубку.

Обновляемся Наконец закрыты уязвимости, которые использовались в атаке «Триангуляция». По нашему мнению, оперативность устранения низкая, при таком то хайпе понадобился аж 21 день.