3side кибербезопасности

Конспирологический взлом 1С Битрикс Многие ТГ-каналы, пишущие о безопасности, разгоняют следующих тезис: «В последнее время все громкие утечки были выгружены из 1С Битрикс, это не просто так, судя по всему существует какая-то эксплуатируемая и неизвестная широкой общественности уязвимость» Но доказательств никто не приводит, а тезис этот откровенно спорный. Сейчас очень многие веб-приложения работают на Битриксе, даже Госуслуги РФ. Тогда почему утекают одни, но не утекают другие? Чтобы показать отсутствие причинно-следственной связи перенесу этот тезис на Windows. «Во всех взломанных и зашифрованных компаниях использовали Windows! Совпадение? Не думаю!» Канал Некасперский один из первых начал разгонять этот тезис, но сейчас уже изменил свою точку зрения. Там пишут, что якобы проблема в том, что Битрикс пиратят и обновления не ставят. Доказательств пока тоже не привели, да и найти их будет затруднительно. Что может быть с Битриксом не так? Есть известная уязвимость в модуле для голосований «vote», под номером CVE-2022-27228. Она прошлогодняя, давно устраненная, и даже не обновляя Битрикс, ее можно устранить просто отключив модуль. Эту уязвимость успешно эксплуатировали весь прошлый год, поэтому маловероятно, что многие утечки этого года с ней связаны, но все бывает. Сотрудники ФСТЭК тоже читают ТГ-каналы, надеемся, что наш тоже. Поэтому, на всякий случай разослали предупреждения для госструктур, о том, что Битрикс могут атаковать. Но будучи людьми осмотрительными, бездоказательных утверждений не делали, а лишь напомнили о CVE-2022-27228. И попросили удостовериться, что ей структуры не подвержены. Ну а подробнее об известных атаках на Битрикс без конспирологии и домыслов можно прочитать тут.

Optic ID — новая технология защиты Apple В начале этого месяца прошла традиционная (хотя здесь вопрос интересный) презентация Apple WWDC2023. На ней было представлено несколько новых гаджетов, в числе которых были очки Apple Vision Pro. Они позиционируются как устройство смешанной реальности, позволяющее окунаться в виртуальный мир не выпадая из реального. Зачем оно нужно? Компания презентует эти очки для дизайнеров, 3D моделистов, инженеров и многих других профессий. Благодаря единой экосистеме Apple, AVP элементарно взаимодействует с обычными рабочими приложениями на тех же маках: фотошоп, видеоредактор, звукоредактор и прочие программы работают в едином пространстве. Но нас интересует другое — система защиты очков. Optic ID — именно так назвали в Купертино новую технологию, которая отвечает за конфиденциальность устройства. Чтобы получить доступ к очкам, Optic ID сканирует радужную оболочку человеческого глаза и таким образом определяет владельца. Как? Несколько лампочек, расположенных в окулярах очках, проецируют инфракрасный свет на каждый глаз. После этого камеры производят серию снимков зрачка с разной экспозицией, и сопроцессор сверяет полученные рисунки радужки с сохраненными данными в системе. Если совпадение есть — пользователь получает доступ к очкам. Данные об оболочке в зашифрованном виде находятся в отдельном хранилище Secure Enclave.Никто, включая саму компанию Apple, не может получить доступ к этой информации. Эта технология защиты не нова — ещё в Samsung Galaxy Note 7, флагмане мира телефонов на тот момент, была применена эта технология. Вплоть до Galaxy S9 корейцы использовали распознавание радужной оболочки глаза. Но после сканер был убран — он занимал слишком много места, что не сочеталось с концепцией безрамочного экрана у новых моделей Galaxy. На Apple Vision Pro такой способ идентификации, наверное, наилучший вариант из возможных — Face ID был бы непрактичным вариантом, а для Touch ID нужна ещё одна внешняя кнопка. Как заявляют в компании, Optic ID — наиболее безопасный и быстрый способ получения доступа к очкам. Помимо нового способа разблокировки устройства, в Apple позаботились о приватности взгляда пользователя. Просматривая какой-либо сайт никто не будет знать о тех областях, куда был направлен ваш взгляд. Информация будет передаваться только о кликах, как это было бы с обычным курсором. Optic ID фактически полностью исключает сторонний взлом Vision Pro. Если Touch ID и Face ID люди, при должном старании, могли обмануть, то сканер сетчатки провести практически невозможно. Так как даже у близнецов радужная оболочка отличается друг от друга. Осталось дождаться выхода AVP и узнать, как оно работает у реальных пользователей.

Радикальный инсайд — открытая диверсия сотрудников Нелояльные сотрудники— проблема для компании. Особенно когда из просто "нелояльных" они превращаются в "изначально вредителей". Такую проблему мы называем "радикальным инсайдов" — ситуацией, когда сотрудник из политических или иных убеждений начинает наносить ущерб работодателю. Тут недавно всплыла потрясающая история: была в Управлении по цифровизации Росавиации практически рядовая сотрудница. Она уволилась и уехала из России — а вскоре атака на сервера организации вынудила ее перейти на бумажный документооборот. О последствиях судить сложно, но на рынке говорят о том, что проблемы есть и их много. В итоге выяснилось, что у сотрудницы было украинское гражданство. И нет, само по себе оно стоп-фактором не является, но HR-службам и коллегам стоит как-то мониторить состояние сотрудников и ставить хоть какой-то фильтр на входе. Да и в процессе работы мониторинг действий сотрудников важен, для предотвращения подобного. Это же обычный инсайд! Не совсем, ранее инсайд был делом скрытным, чаще всего финансово мотивированным, злоумышленники боялись быть пойманными. А с февраля 2022 года, появился инсайд радикальный, в первую очередь политически мотивированный. При это инсайдер не боится быть пойманным, ведь после злонамеренных действий он просто уезжает в аэропорт. И остановить его практически невозможно, скорости реакции компании, да и силовых структур скорее всего будет недостаточной. Запустил шифровальщик и в аэропорт.

Мошенники из инфобизнеса — как это работает? Их много, они продают курсы/тренинги/коучинг/марафоны. Любой «информационный» бизнес продаёт «бесценную» информацию, которая на деле не стоит ничего, а покупают её лишь благодаря обману. Они подобны сектам. Они — типичные представители инфобизнеса, в народе — инфоцыгане. Часто паразитируют на темах «бизнес», «отношения», «психология», «исполнение желаний», «мотивация». На одного действительно стоящего бизнес-тренера или коуча приходятся десятки инфоцыган. И это проблема. — Как цепляют своих жертв? Стратегии две, и их могут комбинировать. 1. Разочарование в себе. Мошенники обращают внимание на проблемы в жизни: финансовые или личные. Основной посыл: тебе нужна помощь — ты говно. 2. Жадность. Говорят, что каждый может легко стать богатым и успешным, но раз ты сам не смог, тебе нужна наша помощь. На деле человека можно зацепить за любую ситуацию, когда его ожидания от жизни не совпадают с действительностью. Тогда мошенники искусственно раздувают это до «проблемы» и предлагают максимально простое решение. И нет, как правило это не стоящее образование или смена работы. — Как завоевывают доверие? 1. Создают иллюзию того, что они способны решить все проблемы и/или привести жертву к «успешному успеху», чтобы это ни значило. Они вас «научат как», а сами вы уже не справились, раз пришли к ним. А в качестве «подтверждения» используют множество уже ранее завербованных людей. 2. Особенно эффективно работают массовые коммуникации между жертвами, которые сами убеждают друг друга в реальности этой иллюзии. Например, на тренингах, марафонах, мероприятиях, премиях, где каждый говорит то, что хочет услышать сам и хотят услышать другие. Правда, реальные миллионеры там встречаются не то чтобы часто. 3. Обязательно демонстрируют, что каждый может стать таким же успешным как они: снимая постановочные ролики об «историях успеха» и культивируя культ своей личности или приближенных. Принцип тот же, что и у финансовой пирамиды. «У нее исполнились её мечты всего за пару месяцев» «Она нашла себе богатого и красивого принца» «Год назад пришел к нам бедный студент и вот у него уже Бентли и квартира в Дубае» И завербованные будут это подтверждать, хотя и это не так. — Что хотят? Денег, и помощи в обработке новых последователей. Больше им не нужно ничего, им плевать на своих жертв. То есть плати, и проявляй пиар-активность. Пиши посты, рассказывай друзьям, участвуй в мероприятиях. Тех, кто помогает приводить людей и убеждать их, они подпускают поближе, как самых ценных. Деньги могут быть не сразу, как «платные материалы к бесплатному курсу» или «расширенную практику», чтобы не отпугнуть. — Что делать, если ваш друг/знакомый попал в подобное? Возможно он, потеряв время и деньги, выйдет оттуда сам и научится на своих ошибках. Большинство людей всё-таки учатся на ошибках. Если не научится, объясните, что случилось и помогите ему научиться. Вытащить же кого-либо самостоятельно крайне сложно. Формально такие организации могут и не нарушать никаких законов, поэтому придется обращаться к специалистам-психологам. Главное минимизировать финансовые потери. Да, человек без денег мошенникам не особо интересен, если он не стал там «звездой вербовки». Тогда уже все плохо — он стал одним из них, и покинуть «секту инфоцыган» гораздо сложнее.

Угроза руководителям/основателям Руководитель/основатель компании такой же человек, со своими слабостями и заблуждениями, которые часто эксплуатируют. Но иногда от рядовой угрозы, к которой мы все уже привыкли и зачастую относимся с иронией, может пострадать весь бизнес, партнеры, сотрудники, да вообще все причастные. Я говорю о тех, кого часто называют «инфоцыгане», а корректнее «мошенники из сферы инфобизнеса». Казалось бы, человек, который основал бизнес и руководит им, мало подвержен подобному. Но, к сожалению, даже умудренный опытом человек может попасть под их влияние, поверить в «сказку» и поставить под угрозу не только свое финансовое благополучие, но и свою фирму. Прецеденты уже случались. Краткая памятка о них в следующем посте. Поделитесь ей с друзьями и близкими! Важно, чтобы человек узнал об этом, что это ДО попадания к ним на крючок, иначе вытащить его оттуда будет гораздо сложнее.

Использование шпионского софта может привести к отставке главы государства По крайней мере, в Мексике такое вполне возможно. История простая — в телефоне местного уполномоченного по правам человека нашли следы израильского шпионского софта. Причем случай далеко не первый — до этого жертвами становились другие политики. Причина активизации простая — в Мексике огромные проблемы с правами человека, и если начать глубоко копать, можно накопать очень многое. Что характерно, мексиканские власти отрицают какую-либо связь с израильской NSO Group за последние годы при том, что по неофициальным данным на покупку софта было потрачено около 0,3 млрд долларов. Кто конкретно применял софт, военные или прокуратура — не понятно, но история пахнет довольно неприятно. Самое смешное, что мексиканцы с радостью покупали Pegasus при любых президентах. Что самое смешное, применение софта против наркокартелей с их тотальной паранойей в части ИБ не факт, что будет достаточно эффективной — мы уже писали о том, как картели даже строили собственные вышки сотовой связи, чтобы избежать слежки. А вот следить за потенциальными конкурентами в правительстве гораздо проще и удобнее. А с учетом того, что мексиканские власти с наркотрафиком как минимум не борются (а в некоторых случаях просто находятся в доле), выбор целей для взлома вызывает все больше вопросов. Какой вывод мы можем сделать? Кибероружие — такое же оружие, как и любое другое. И мы уверены, что в ближайшем будущем его оборот станет все большей проблемой.

Moonlighter — космический полигон для хакеров Несколько недель назад мы писали о взломе небольшого европейского спутника. Хакеры смогли получить контроль над системами кубсата, а главное — над его двигателями. Подобное событие ещё больше обозначило проблему в современной ИБ, а именно — безопасность орбитальных систем. Ведь они также могут стать объектами атак. В США начали решать эту проблему, выделив деньги на постройку «хакерской песочницы» в космосе, а именно небольшого кубсата массой около 5 кг. Создателем спутника выступила корпорация The Aerospace Corporation, а отправила аппарат на орбиту Земли ракета Falcon 9 компании SpaceX. Основная цель этой «песочницы» — это испытание космических систем безопасности в реальных условиях, то есть когда спутник не лежит перед хакером на столе, а находится в движении на расстоянии нескольких сотен километров. И это важно, потому что орбитальная механика вносит свои коррективы в процесс работы со спутником, банальная задержка сигнала это меньшая из проблем, в отличие от той же теневой зоны — когда спутник уходит за радиогоризонт и не может ни принимать команды, ни отправлять данные. Устройство Moonlighter довольно простое — солнечные панели, несколько датчиков астронавигации и корпус с электроникой. А вот что в этой электронике загружено... Как уже писало выше, это — песочница. Изолированное программное окружение не позволит хакерам нанести критический урон система спутника или взять под контроль его навигацию и управление. Они смогут получить доступ только к заранее установленным системам аппарата. Принцип «песочницы» уже стал обыденностью повсеместно, допустим в той же операционке яблочных мобильных гаджетов — IOS, о чем мы писали ранее. Американский кубсат будет подвергаться сразу нескольким атакам от разных команд. В этом и суть испытания: 5 команд финалистов состязания Hack-A-Sat в Лас-Вегасе будут ломать Moonlighter, а тройка лучших разделит денежный приз в 100 тысяч долларов. Об итогах конкурса и всего эксперимента мы узнаем в конце лета. Как сказал один из участников прошлых конкурсов: «С Moonlighter мы пытаемся решить проблему до того, как она станет проблемой».

О цифровом следедля всех Мы все чаще слышим понятие "цифровой след", особенно в контексте слежки за всеми нами. Самое смешное, что история о цифровом следе каждого из нас — это чаще всего не про теорию заговора, а про желание продать нам побольше всего. Простыми словами о том, что это такое и почему это не "мировое зло" с которым каждый должен бороться, а лишь инструмент, который используют очень по разному и во вред, и во благо. В подкасте "Люди и Код"

Киберучения для студентов Легальная практика для студентов это очень важно для обучения и особенно вдохновения! Если нужно что-то техническое, то вперед на CTF соревнования или решать HackThebox. А организационное? А организационные соревнования в Калининграде проводим вместе с КодИБ! От нас будет один практический кейс на разбор и помощь одной из команд на кейсах других партнеров. В будущем постараемся почаще участвовать в подобных партнерствах и активностях.

Про бизнес и российскую ИБ Мы тут, кажется, вписались в один очень любопытный проект по ИБ — очень большой и комплексный. О деталях расскажем после его завершения, а пока некоторые "рассуждения на тему". Российская ИБ всегда была "впереди планеты всей" (ну, или на очень высоком уровне) по квалификации специалистов и качеству многих продуктов. К сожалению, с точки зрения управления ИБ-рисками, финансовой составляющей и сопутствующих продуктов (например, страхования киберрисков) мы всегда отставали от США и других стран. Что обидно — специалисты у нас не хуже. Мы очень надеемся, что в ближайшие пару лет ситуация изменится, и мы бы очень хотели быть в авангарде такого рода изменений.

Опыт CTF, решенные задания на площадках и прочие соревнования по ИБ - это о чем-нибудь говорит и чему-то учит? На сколько CTF и прочие ИБ-шные соревнования вообще соответствуют задачам из реальной жизни? Есть разные мнения, от "лучше так, чем никак" до "CTF дает определенные знания". А с учетом дефицита ИБ-специалистов в стране, на сколько вообще опыт CTF может быть релевантен для работодателя? Обо всем этом мы поговорим через неделю, 8 июня на Код ИБ Калининград. От нас там будет Антон с довольно обширной программой (Доклад + круглый стол + учения +круглый стол в ВУЗе). В общем, будем рады увидеться!

"Операция Триангуляция", или о чем сегодня заявило ФСБ. Сегодня ФСБ России выпустило пресс релиз об атаке на устройства Apple дипломатов и политиков. СМИ побежали репостить, неискушенные безопасностью читатели побежали кричать, что IPhone – шпионский девайс, как они и думали. А специалисты задались вопросом «Какие ваши доказательства?». Но вот доказательства появились, но там нет политики и «сотрудничества Apple», как мы и ожидали. Ведь доказательства и технические подробности выложили сами авторы расследования, эксперты Лаборатории Касперского! А они не про политику, они про технику и факты. Что же они нашли? С 2019 года происходит высокотехнологичная атака на дипломатов и других важных для политики деятелей с использованием эксплойтов для IPhone. Она похожа по своей сути на то, что когда-то использовали NSO Group, о чем мы писали тут. • Дипломату приходит сообщение в iMessage с вредоносным вложением, которое вызывает в системе выполнение вредоносного кода без участия пользователя. • Далее загружается несколько подмодулей вируса, обеспечивающих поднятие привилегий до системных. • И в конце в оперативную память телефона загружается полноценная платформа для шпионажа, которая будет там находиться до перезагрузки устройства. • А если телефон будет перезагружен, что в целом происходит не так часто, то телефон просто заразят повторно. Пока анализ этого вредоноса продолжается, ждем еще подробностей. Как от этого защититься? Неизвестно, ждем рекомендаций исследователей и Apple. Это массовая атака? Таргетированная, заражаются телефоны людей представляющий интерес. Если вы не дипломат, маловероятно, что вы в списке. Доказательств какой-либо помощи Apple в этой атаке в расследовании нет. Технические подробности расследования можно прочитать тут, и там указаны все известные индикаторы компрометации.