3side кибербезопасности

Восстановление замазанной/обрезанной части изображения Внимание, это НЕ шутка, хоть пост и выходит 1 апреля. Если вы пользуетесь не обновлённым смартфоном Google Pixel или стандартным приложением Snipping Tool в Windows 11 любой версии для обрезки и замазывания изображения, то у нас для вас плохие новости. Есть шанс, что ваше редактирование можно «отменить». В случае если картинка и замазана, и обрезана шанс довольно высок. Проблема в том, что фоторедакторы особым образом перезаписывают изображение при изменении, и у них остается «лишнее место» в конце картинки. Например, если мы картинку обрезали, то у нас остается лишнее место в конце файла. Или если мы замазали одним цветом, то картинка лучше сожмется и тоже появится лишнее место. А эту лишнюю часть фоторедактор не перезаписывает, где может остаться тот самый обрезанный или замазанный кусок. Который можно легко вернуть. Уже даже есть бесплатный инструмент, который позволяет это попробовать сделать на любых файлах, работает если они были редактированы на Pixel. Для Pixel эта уязвимость получила название - Acropalypse (CVE-2023-21036), она уже закрыта в мартовском обновлении. Для Snipping Tool в Windows 11 – уязвимость еще не исправлена. Рекомендации по безопасному скрытию информации на изображениях: - Если у вас Pixel – обновите его. - Не пользуйтесь. стандартной утилитой Snipping Tool в Windows 11. Есть множество иных и более удобных приложений. - Используйте только 100% непрозрачную заливку при замазывании/закрашивании. - Никакой «пикселизации» и «размытия» — это обратимо.

Управление перспективных исследовательских проектов Министерства обороны США (DARPA) купила за $3,250,759.00(!) халтурненький отчет о Российском кибербезе. Собран он лишь из открытых источников публикаций, Линкедина, телеграм-каналов, сайтов орагнизаций и конференций. Часть информации устаревшая (Катя привет!). Было забавно увидеть в этом отчете фамилии и имена кучи моих друзей и знакомых! Жаль 3side слишком молод, чтоб его заметили "исследователи" из США( Видимо бюджета на нас не хватило! С самим 120-страничным отчетом можете ознакомиться по ссылке.

В ближайшую субботу будем рассказывать про кибербезопасность, а первую очередь для стартапов у наших друзей из МодельМира. Поговорим о том, как правильно определять угрозы, выбирать подрядчиков, как устроен рынок ИБ в России и в других странах, как правильно управлять рисками и о многом другом. Еще можно будет пообщаться с нами и позадавать вопросы. В общем, приходите (вход бесплатный, регистрация через бота по ссылке, адрес после регистрации, приносить с собой еду и напитки приветствуется). Город - Москва, начало - в 7 вечера.

Мошенник: "Стреляй , но не по людям, стреляй вверх!" Шестой подтвержденный случай преступления по указке телефонного мошенника. 72-летний пенсионер был уверен, что участвует в спецоперации и помогает висящему на проводе "капитану полиции" разоблачить сотрудников Сбербанка. Сотрудников Московского отделения на Неманском проезде манипулятор обвинил в сливе данных пенсионера и других клиентов из банка. Когда мужчина пришел в отделение и сел у окна, "капитан" приказал стрелять в воздух из пистолета. По информации СМИ пистолет, к счастью, оказался пневматическим. Пенсионера скрутил другой посетитель и передал настоящим полицейским. Видимо злоумышленникам из колл-центра очень нужен был резонанс, выстрел мог помочь, как и поджоги ранее. Но манипулятор понимал, что в человека выстрелить пенсионер скорее всего не сможет. Аппетиты злоумышленников растут. Мы уже неоднократно писали про предыдущие 5 подтверждённых случаев склонению к преступлениям. И писали памятку, как этому стоит противостоять. Пока люди не будут бросать трубку, они будут звонить и подобные случаи будут происходить. Хотите помочь в борьбе? Расскажите об их деятельности или перешлите памятку "Бросай трубку!".

Дырявое железо от Samsung. Эксперты Google нашли 18 уязвимостей в чипсетах Samsung. Они используются в смартфонах с Android и автомобилях. Google Project Zero (команда, специализирующаяся на поисках 0-day уязвимостей) обнаружила целый набор проблем с чипсетами Samsung Exynos. Всего 18 уязвимостей, из которых 4 действительно критичные: они позволяют выполнить любой произвольный код и сделать это удаленно. А теперь самое смешное. Знаете, что для этого нужно? Знать номер телефона устройства. И все. Доступ к сети провайдера? Не нужен. Взаимодействие с пользователем? Аналогично. С автомобилями история интереснее — там не до конца понятен масштаб проблемы, но потенциально такая уязвимость пугает, особенно в случае с современными авто, где бортовой компьютер может очень и очень многое. По сути, перед нами если не ультимативное оружие вроде Pegasus, то потенциальный способ улучшения эффективности подобного ПО. А теперь про тех, кто в зоне риска: это серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04 от Samsung, Pixel от Google 6 и 7 и ряд телефонов Vivo, и автомобили с использующие данный чип. Картинка так себе… Фактически, быстро обеспечить закрытие уязвимостей на всех устройствах будет практически невозможно. Хоть патчи производителям уже разосланы, но, как всегда, внедрят они их далеко не сразу. А на старые модели телефонов патч может и вовсе не прийти. На данный момент запатчены только смартфоны Pixel. В качестве временного решения Samsung рекомендует пользователям отключить Wi-Fi- вызовы и VoLTE и ждать обновлений. Таков Андроид, мы уже не раз писали, что экосистема открытая, а значит быстрая реакция и закрытие уязвимостей – невозможны. А когда дело касается железа – становятся уязвимы все устройства, вне зависимости от модификации ОС. Андроид по умолчанию уязвимее!

Шантаж, прикрывшись флагом, — или как неконтролируемые хакеры вредят своей стране На днях прошли две новости о взломе крупнейших космических операторов мира — SpaceX и NASA. Ответственность на себя взяли пророссийские хакерские группировки LockBit и PHOENIX — якобы они смогли получить доступ к файлам двух американских гигантов. Достоверность данных взломов (а особенно последнего) всё ещё находится под сомнением, но сам по себе инцидент нелицеприятный. И вот почему. Смотрите, что нужно киберпреступникам? Как и всегда — выкуп. Хакеры из LockBit, получив доступ к чертежам SpaceX через его подрядчика Maximum Industries, смогли выкрасть порядка 3000 чертежей космической техники компании Маска. Если SpaceX не выплатит определенную сумму денег, то все украденные данные будут обнародованы. А данные могут быть весьма интересные, так, в чертежах могут содержаться концептуальные и технические решения по многоразовым ракетам Falcon или, что ещё интереснее, по глобальному спутниковому интернету Starlink — во многом стратегической американской разработки. Подобная информация будет интересна прежде всего Роскосмосу и Министерству Обороны, но и другие страны, такие как Китай и Иран, могут также узнать много нового для своих космических программ. Окей, а в чём проблема? Хакеры, хоть и ради наживы, но добыли кучу полезной информации для своей страны. Есть, скажем так, нюанс. Взлом было сделан публично и без прикрытия.LockBit открыто стали угрожать SpaceX. Обычное поведение преступников? Да, во многом, вот только здесь стоит сделать акцент на их государственную, скажем так, принадлежность. Отношение Запада к России понятно, и это в общем сказывается на отношении и западного бизнеса. Тем более крупного бизнеса, который с 24 февраля прошлого года занял антироссийскую позицию. SpaceX — одно из немногих исключений. Ни одного публичного осуждения действий РФ на Украине от компании или от её основателя не последовало, а поставки оборудования Starlink носят скорее вынужденный характер и были сделаны под давлением Пентагона, а не по инициативе Маска. Это мнение подтверждается многочисленными скандалами, связанными с работой Старлинка. От банальных перебоев в работе интернета, до публичных заявлений о прекращении безвозмездного обслуживания системы и запрета использования Старлинка для связи беспилотников ВСУ. Даже не беря в расчёт довольно пророссийскую риторику Илона, вышеуказанные мероприятия так или иначе идут на пользу России. И что же в этой ситуации делают хакеры? Правильно, начинают высмеивать и шантажировать Маска прямо в соцсетях. Я уже не говорю о том, что они даже не попытались скрыть страну, которая крышует их деятельность. Зачем создавать своей стране ещё одного врага — загадка. Это абсолютно безответственная и идиотская акция, которая может привести к большим проблемам для ребят на реальной, а не виртуальной линии фронта, тем более реальный выхлоп от неё может оказаться не таким уж и существенным. Хакеры LockBit хоть и могли в результате взлома принести какую-то пользу России, но во-первых это не было их самоцелью (потому что на первом месте всегда стоят деньги), а во-вторых это сделано настолько отвратительно, что скорее навредит России и её репутации. Да, взломать главную компанию богатейшего человека Земли, получить доступ к чертежам американских ракет, спутников и шантажировать его на весь интернет, это конечно круто. Вот только это — поведение импульсивного и, скажем прямо, неумного подростка, который не отдаёт отчёт своим действиям. Последствия подобных акций могут быть колоссальным, правда основную их тяжесть будут нести не преступники. Российские государственные агентства много сами писали про "космос без политики". Так может стоит быть последовательными? #3side_безполитики

Пара слов про возможный запрет айфонов для чиновников Тут в СМИ появились предположения, что в АП хотят запретить использовать айфоны своим сотрудникам. Идея интересная, но ее смысл, на наш взгляд, довольно сомнительный. И об этом мы уже писали. Проблема — в отсутствии альтернативы. Нет, не вопрос, можно хоть всех чиновников пересадить на андроиды с любой ОС, просто будет ли это безопаснее? Не факт, скорее наоборот, это будет в разы уязвимее. Потому что самый действительно безопасный вариант — это как раз iPhone с отключенным бэкапированием в ICloud. Тогда Apple все еще сможет его заблокировать, стереть данные или что-то удалить. Но получить данные с телефона — нет. Извините, у них и с разблокировкой то есть вопросы. Android — это зачастую миллионы малварей, гораздо более серьезные дыры, которыми может пользоваться любая достаточно квалифицированная APT. Если же Apple будет по указке спецслужб США внедрять дополнительные механизмы для слежки, раскатывать обновления и что-то подобное, это сразу всплывет. Причина простая до неприличия — любой их билд анализируется и потом будет такой чудовищный удар по репутации айфона, который изначально был известен своей защищенностью, что компания вряд-ли пойдет на что-то подобное. Реверс-инжениринг прошивок был, и любую подобную историю уже давно бы спалили — их обновления и ОС под постоянным контролем не только спецслужб и APT (для которых это очевидная цель), но и толпы исследователей. АНБ и ЦРУ тратят миллионы долларов на расшифровку силами коммерческих подрядчиков каждого айфона, который достался им от террористов. А Apple дает им бэкапы из облака. По ордеру. Можно пытаться строить свою ОС под конкретные задачи, только это вопрос на десятки миллионов долларов и с сомнительным результатов — ну нельзя, нельзя построить защищенную ОС на базе дырявого ядра. Даже если ты Гугл, этот сложно. Но даже если получится, приложений под нее не будет. А значит результат будет на уровне кнопочного телефона, и каждый чиновник просто заведет себе второй удобный телефон. Разумеется, на жену, собаку или водителя. Альтернатива — создавать гиганты уровня Хуавея или других топовых китайцев (к слову, они одно время платили исследователям в МСК по пол-миллиона рубелей в месяц в белую). Только это тоже задача на миллиарды долларов и годы, если не десятилетия. Хотя идея благая, не спорим. Вот такие дела. В борьбе секурности и удобства обычно побеждает второе.

Новость дня - в США арестован админ Breachforums, крупнейшего форума-агрегатора утечек Вчера примерно в 4:30 вечера по Москве ФБР арестовало Брайана Конора Фицпатрика aka pompompurin (пруф) по обвинению в компьютерных преступлениях. Его считают владельцем и админом одной из крупнейших площадок, связанных со сбором утекших данных. Что известно на текущий момент: - Breachforums - крупнейший форум по утечкам на данный момент в мире, туда выкладывали вообще все - Парень 2002 года рождения - Давал анонимное интервью одному из самых известных журналистов по кибербезу Брайану Кребсу - Будут скорее всего аресты иных участников (ну, до кого дотянутся, лол) и попытки деанона пользователей - ФБР, как всегда, на высоте - ждем докладов на хакерских конфах о том, как его сдеанонили. - Вели его ГОД, то есть это огромная системная работа Утечки и продажа данных, конечно, на этом не закончатся. Но "сигнал рынку" получился весьма характерный и мы думаем, что это далеко не последний арест.

Нулевой день для российских хакеров (CVE-2023-23397) Тут пишут, что украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) нашла и зарепортила в Microsoft некую новую уязвимость Outlook, причем судя по скорости исправления и реакции, речь идет об уже эксплуатирующийся 0-day, уязвимости нулевого дня. Сами американцы пишут, что некая группа из России использовала ее для атаки нескольких европейских и украинских организаций — судя по описанию, это похоже на правду. В атаках обвиняют APT28 (ака Fancy Bear и куча других названий), известная группа, которую часто называют связанной с ГРУ. Уязвимость получившая идентификатор CVE-2023-23397 использует Microsoft Outlook для получения учетных данных пользователя. Работает это примерно так — есть учетная запись, из-под которой работает Outlook. Приходит в Outlook письмо, отправленное злоумышленниками, и когда почтовый клиент письмо обрабатывает, чтобы показать уведомление — в этот момент уязвимость инициирует подключение к серверу злоумышленников по протоколу SMB (445/TCP). Таким образом на сервер злоумышленников прилетает хэш учетных данных. Это не логин-пароль в открытом виде, но если у атакующих есть 0-day, то ферма для перебора паролей по хэшу уж точно найдется. Что беспрецедентно - жертве не нужно предпринимать никаких действий, открывать письмо, ходить по ссылке, и так далее. Единственная защита до вчерашнего патча была в том, что из внутренней сети иногда закрывают исходящие подключения к "внутренним" портам, к тому же 445/TCP. А вообще, если это и правда сделали из России можно сказать только одно — 0-day это всегда про высокий уровень и говорит об очень серьезной квалификации. #3side_безполитики

О проектных рисках, или притча о безопасности полетов В нашей работе регулярно встают вопросы о том, что любая деятельность в ИБ, даже совершенно белая и легальная, несет определенные риски для компании — клиента. Мы подумали, и вот что имеем сказать. Во-первых, мы предупреждаем обо всех рисках. В том числе тех, которые имеют мизерные шансы реализоваться — тут как с падением метеорита. Случиться может, результат фатальный, но вероятность крайне мала. Мы делаем это просто потому, что считаем такой подход наиболее правильным и честным по отношению к клиенту. Причем, коллеги, есть риски, защищаться от которых дороже, чем просто их принять. Можно, например, развернуть дополнительный тестовый контур, но если стоимость мероприятия значительно превышает стоимость работ по ИБ и сопоставима с величиной возможного ущерба — оно точно нужно? И так далее. Во-вторых, мы в любом случае подбираем опытных исполнителей. Это не новички. Мы проверяем их работу. Мы четко понимаем, что это те люди, которые понимают, что они делают. Но тут ситуация как с врачебной ошибкой — можно минимизировать, но нельзя свести к нулю, и ошибаются даже лучшие. И у интеграторов, и у крупных ИБ компаний ситуация та же самая, мы просто считаем правильным говорить о ней с самого начала. При этом подчеркиваем, что вероятность реализации риска — минимальная. ИБ - это про управление рисками. Риск-менеджмент — это не про сведение угроз к нулю, это про оптимальный результат. Наша задача — найти оптимальное соотношение между безопасностью, удобством и ценой. Финальное решение в любом случае за вами, но мы стараемся помочь вам правильно все оценить. Напоследок расскажем одну притчу. Вызывают однажды главкома ВВС ПВО СССР в Политбюро и говорят: "Что-то у вас самолеты часто падают". "Товарищи, с завтрашнего проблема будет решена, ни одной аварии не будет!" — отвечает командующий, заслуженный ветеран. "А что вы планируете сделать?" — с сомнением спрашивают его? "Да я с завтрашнего дня запрещу все полеты" — ответил маршал. Так вот, вы можете просто запретить полеты. Но, кажется, это не совсем то, что нужно. Если у вас остаются вопросы — направляйте, мы постараемся максимально оперативно на них ответить.

Дорогие подписчики! У нас уже набралась стабильная, хоть и небольшая относительно многих каналов аудитория. Нам вы особенно важны, поэтому мы просим вас поучаствовать в этом опросе: Мы стараемся писать о вещах, которые мы сами считаем достаточно важными. Мы не новостной паблик. Какое количество действительно важных постов в неделю вам было бы комфортно читать, чтобы избежать эффекта "спама"?