3side кибербезопасности

Утечка ключей прошивок MSI Иногда операторы ransomware(шифровальщиков) добираются и до гигантов, а приводит это вот к чему. Операторами новой ransomware-групы Money Message были украдены ключи для электронной подписи прошивок MSI. И эти ключи быстро и просто не отозвать, а некоторые не отозвать вообще никак, без замены чипов. Чем это опасно? Простыми словами это можно описать так. При загрузке операционной системы, загрузчик опирается на цепочку доверия, а строится она на подписанных подобными ключами механизмах. Только подписанные правильными ключами прошивки имеют право загружаться перед стартом операционной системы, дальше уже всю защиту берет на себя она, и ее средства защиты такие как антивирусы. Теперь, получив ключи для подписи прошивок MSI, злоумышленники смогут внедриться в процесс безопасной загрузки на тех зараженных устройствах, где установлена материнская плата этого производителя. А значит вредоносный код загрузится значительно раньше антивирусов и средств защиты операционной системы. Вирус сможет полноценно управлять работой ОС и противодействовать ему из под операционной системы будет невозможно. И в ряде случаев, вирус сможет прописать свою прошивку в память материнской платы, тогда не поможет даже замена жесткого диска. Кто под угрозой? Те, чьи устройства базируются на материнской плате MSI, если они будут заражены. Как проверить какая у меня материнская плата? Windows: Нажмите кнопку Пуск , выберите Параметры > Система > Сведения о системе Смотрите на строчку "Изготовитель основной платы" Как этому противодействовать? Ждать решения от MSI, но часть ключей уже предзаписаны в одноразовой памяти, их сменить не получится. Возможно они придумают как это обойти. Максимально усилить защиту на уровне ОС, ведь чтобы закрепиться в загрузчике вредоносу нужно первоначально заразить систему. Ну или если вы хотели пересобрать ПК, самое время поменять материнскую плату. Более сложно и развернуто про это написали Касперски Лаб, прочитать можно тут.

«Ребят, вы че издеваетесь? Это вам не курсы от мошенников!» — CyberEd запустили открытый и действительно годный проект по наступающей кибербезопасности, там работают наши друзья и в качестве их проекта сомневаться не приходится. Все кто хочет вкатиться в кибербез, велкам к ним, новые профессионалы сейчас очень нужны рынку. Это не реклама — курс действительно сделан людьми из индустрии.

Отмена нашего участия в OFFZONE К сожалению, наше запланированное участие в подготовке тату-зоны на OFFZONE отменяется. Чем больше компания, тем больше бюрократия и сложные внутренние правила влияют на договоренности. Все, кому я говорил, что уж в этом году тату-зона будет крутой и я все сделаю "как в 2018" — извините. В этом году я не буду за нее отвечать. Увы, но наше предварительно оговоренное условие "один баннер 3side около зоны" сейчас не было согласовано. Из плюсов, выяснили мы это в середине подготовки, а не уже на месте. И времени было потрачено немного. Так бывает: чем больше людей, тем сложнее договариваться. Вот вам фото со шкурой 2018 года, для привлечения внимания!

К сожалению, всякое бывает. Не надо так делать.

В России критически не хватает специалистов по ИБ Тут "Зарплата.ру" вместе со Skillfactory провели опрос — выяснилось, что практически каждый третий руководитель считает, что в 3 квартале 2023 года он будет нуждаться в специалистах по ИБ. В первую очередь — в мидлах и начальниках отделов (для малого бизнеса это по-факту квази-CISO). Всего в России не хватает порядка 30 тысяч ИБ-специалистов. Тут, правда, есть один неприятный момент — такого количества кибербезопасников, особенно опытных, в России чисто физически нет, и в ближайшее время не появится. Рынок растет со скоростью 30-40% в год, при этом людей на рынке физически стало меньше, если не говорить о выпускниках курсов, а они без дополнительной подготовки практически бесполезны. И вот при классическом подходе проблема решается года за 3-4, и это при том, что опытные специалисты не продолжат уезжать. А с учетом разницы в уровне зарплат между IT и ИБ и даже между российским и не-российским ИБ, с учетом наличия Эмиратов, Саудовской Аравии, крупных международных компаний ... если честно, у нас вообще есть ощущение, что ИБ-специалистов на рынке в ближайшие годы радикально больше не станет. А будет происходить еще большее расслоение между крупным бизнесом, который заткнет проблему деньгами "потому что может" и МСБ, который традиционно будет пытаться влезть в очень ограниченный бюджет. В который влезть практически невозможно. И нам очень хочется написать что-то в духе "мы — единственный доступный для МСБ способ получить качественные услуги по ИБ за вменяемые деньги", но мы об этом и так много раз писали. В общем, поглядим что будет на рынке, но пока есть ощущение, что проблема с людьми — она на годы.

Простым языком про ИБ Тут Антон записался в подкасте от чудесных ребят из команды "Серёжа и микрофон"(Их же подкаст БИГ НАМБРЗ). Вроде бы получилось достаточно интересно, просто и понятно. Мы вообще стараемся активно участвовать в такого рода движухах — это ведь не только про узнаваемость Антона и нашей компании, это еще и про популяризацию ИБ. А для нас это тоже важно. https://vk.com/wall-189047791_582 Подкаст, к сожалению, эксклюзив для ВК, но это не помешало ему собрать 700К+ просмотров! P.S.: а еще один из основателей 3side при просмотре с ностальгией вспоминал Илью Огурцова из "Реутов ТВ" ))

Все можно сломать — но ломали ли спутники? Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей. Теперь техническую возможность подтвердили сотрудники французского оборонного концерна Thales — они взломали испытательный орбитальный наноспутник. В общем, теперь классика из кино в стиле "дай нам картинку с взломанного спутника" уже не только часть серии фильмов о Джеймсе Бонде. И хотя работа проводилась на тестовом стенде на конференции в Париже, нет особых сомнений, что нечто подобное можно сделать на практике. А еще есть две других больших проблемы. Первая — это средний возраст спутников на орбите. Массовые устройства можно обновить или в конце концов заменить, со спутниками ситуация сильно сложнее. Вторая — это общая новизна задачи. Вопрос безопасности софта для объектов на орбите не то, чтобы очень популярный и хорошо изученный. Из плюсов — даже взломав спутник, сделать с ним что-то совсем ужасное довольно сложно. Да, в космосе есть ядерные реакторы, но нет оружия. Падение его на Землю тоже не выглядит ужасной перспективой. Но потеря данных, и конфиденциальных — вполне возможна.

Пример шикарной шутки про очередь из комьюнити) https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller

PHDays подходит к концу Что точно запомнилось всем? Это. Пропустить открытие или первую лекцию из-за очереди? Легко! Благо все записи будут в сети.

"Все уже взломано, до нас" Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения. Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов. Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи. Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.

Слив самого себя — лучшие практики от специалистов из АНБ. Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского? Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло. Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно: Ты сотрудник секретного отдела АНБ (APT Equation Group) @@@ Пишешь экплойты и хак-инструменты для ведомства @@@ Высокопрофессионален и умен @@@ Но любишь поработать из дома @@@ Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего @@@ Но не хочешь тратить ЗП на легальный офис, качаешь с кряком! @@@ Решаешь включить антивирь, проверить паленый офис @@@ Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще? @@@ Твои секретные разработки! @@@ А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России! Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN. Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло. Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.

📝 Пять стадий принятия кибербезопасности обсудим с Антоном Бочкаревым ⠀ 📋https://vk.cc/cmiIKn ⠀ Путь каждой компании к тому, чтобы наконец заняться кибербезопасностью - индивидуален. Но он всегда похож на 5 стадий принятия неизбежного “Отрицание”, “Гнев”, “Торг”, “Депрессия”, “Смирение”. Каждая из этих стадий сопровождается одним и тем же набором предубеждений о кибербезе, ошибочных действий и откровенного противодействия различных структур компании, вне зависимости от типа бизнеса. ⠀ Антон расскажет какие аргументы использовать и какие действия предпринимать для того, чтобы максимально быстро и безболезненно эти стадии пройти. А кто подумал, что их придется пройти лишь один раз? Уже существующему подразделению безопасности постоянно приходится доказывать свою необходимость и возвращаться к этим этапам. ⠀ Встречаемся на Saint HighLoad++ 2023 🖐 ⠀ ✅Подробнее о конференции здесь - https://vk.cc/cmiJ4o