3side кибербезопасности

Red teams и пентест на службе государства — как работают этичные хакеры в погонах. Про израильское подразделение 8200 многие в индустрии слышали (классические высокоуровневые offensive с диким количеством направлений атак) — выходцы оттуда делали Stuxnet и основывали NSO group. Но и классические red team команды всегда будет востребованы. Ниже — перевод небольшой статьи из журнала ВВС Израиля, которая была написана для того, чтобы рассказать людям "не в теме" что такое пентест и тем более redteam. Кстати, это одно из немногих подразделений кибербеза в мире, где еще пользуются DVD, а сотрудник настолько крут, что его руку тоже на всякий случай заблюрили) К слову, точно также оно работает и в коммерческом секторе, и мы готовы организовать вам подобные проекты с любыми дополнениями/изменениями и с не менее компетентными исполнителями. "В современную эпоху средства ведения войны передовых стран претерпели существенные изменения. Теперь для того, чтобы атаковать противника не всегда нужно использовать бомбы и ракеты, а иногда - не нужно даже покидать территорию своей страны. Всё больше и больше боевых операций уходят в киберпространство. Кибератаки происходят постоянно. О них не принято говорить публично, обычно публикую только самые успешные случаи. И это - война, которая никогда не закончится. А значит, нужны люди, чья работа заключается в защите компьютерных сетей и оценке угрозы атаки вероятного противника. А кто может лучше оценить уязвимости сети для хакеров, чем другой хакер? Итак, сегодня речь пойдёт о "красной команде" - пентестерах на службе ВВС, чья работа - атаковать военные сети своей страны, находить в них уязвимости чтобы защищаться от кибератак. "Красная команда" хакеров ВВС подобна "Красной эскадрилье". Их главная задача - помочь тем, чья работа заключается в защите компьютерных сетей ВВС, синей команде. Вместе они отслеживают действия различных сил противника из других стран чтобы понять, как они действуют. Противник - это вечный источник вдохновения, он умён и изобретателен, и ему нужно уметь противостоять. «Мы все время тренируем синюю команду и держим ее в напряжении. Мы улучшаем команды защиты, потому что сами атакуем их - если есть лазейка, которой может воспользоваться нападающий, красная команда должна сначала ее распознать" - рассказывает лейтенант А. из "красной команды" ВВС. «В кибер-мире идет постоянная война между атакующим и защитником. Принято считать, что защищаться труднее, чем атаковать. "Синяя команда" устанавливает защиту, а "красная" её преодолевает. Защитник должен предотвратить атаку и улучшить свои защитные меры. Это похоже на гонку, в которой один все время пытается обогнать другого". Военнослужащие "красной команды" отбираются очень индивидуально и поступают из разных подразделений ЦАХАЛа. Команда очень мала, полагая, что небольшая высококачественная группа будет атаковать более целенаправленно и качественно, чем большая команда. Используемые ими инструменты засекречены, но их работа опирается на реальные возможности противника в этой области. Как осуществляется процесс атаки военных сетей? "Мы начинаем с предварительного анализа - придумываем идею и тестируем её в нашей собственной сети, которая не связана с сетями ВВС. Затем мы проводим атаку на нашу сеть, чтобы убедиться, что она работает, а затем наступает время проверить наши идеи на практике". Сделанные выводы передаются синей команде, чтобы из нашей работы они могли понять, как надо защищаться от подобных угроз и как усложнить атакующему задачу в дальнейшем. "Это происходит еженедельно, и иногда мы выполняем атаки более одного раза, чтобы убедиться, что выводы были усвоены и что уязвимости действительно были закрыты - если наша атака во второй раз достигнет цели, значит наши товарищи что-то сделали неправильно". "Я считаю, что, если бы мы не так часто атаковали синюю команду, они потеряли бы свои навыки. Когда они знают, что есть люди, которые каждый день пытаются найти уязвимости в их работе - они начинают работать совсем иначе". (догадываюсь, как делали фото — "сделай типа умное лицо и покажи пальцем в консоль")

Мы тут с удивлением обнаружили, что наша услуга стороннего ИБ директора (ранее писали о нем тут) оказалась более популярной, чем мы сами ожидали. Рассказываем о нашем опыте в этом вопросе. Как правило, к нам приходили 2 типа запросов — или "у нас есть ИБ функция, но нужен квалифицированный и постоянный взгляд на неё", или "ИБ функции нет, проблемы есть, нужно сделать ряд улучшений". Причем во втором случае приходят с уже случившимися инцидентами, а в первом — в рамках постоянной работы над управлением рисками в компании. На наш взгляд, идеальная ситуация — это когда на рынке останется только первый вариант. Мы прекрасно осознаем, что расходы на действительно качественного специалиста в штате будут в районе 400+ тысяч в месяц с учетом всех налогов. Есть разные способы сократить эту сумму, но сделать это прямо в разы без потери качества сложно. При этом зачастую постоянной и полноценной загрузки для такого человека чисто физически нет — в большинстве случаев у малого и среднего, да и нередко для крупного бизнеса просто нет такого количества задач. Ну не нужен им CISO на полный день. Так что сторонний профессионал с большим опытом, который изначально будет работать на part time, зная вашу инфраструктуру, ваши проблемы и ваши задачи — это часто лучший вариант. Но если у вас серьёзный IT-бизнес или много сложной инфраструктуры — возьмите человека в штат. В итоге, выйдет дешевле.(

Как люди оказываются в ИБ, становятся "белыми хакерами" и основывают 3side? Немного личного в корпоративном канале: разговорыНЕпроИБ тут сделали замечательное интервью с Антоном. Там много всего — о жизни, о профессии и о том, как мы создавали 3side. И, конечно, о замечательном российском ИБ сообществе — тех людях, которые нас окружают и для которых (и вместе с которыми) мы делаем этот проект.

Наши продукты и презентация Нас тут пару раз просили прислать презентацию про нас и схему работы, тем более что для российского рынка она достаточно новая. А заодно описание того, какие проблемы мы умеем решать. Как говорится, презентация во вложении. Будут вопросы - пишите)

Слив данных из изолированной сети Не для кого не секрет, что заражать изолированные от Интернета сети вполне возможно. Широко известный вирус StuxNet показал это ещё в 2010 году, заразив сначала подрядчиков через Интернет, а через их устройства попал на завод по обогащению урана. Но одно дело автономный вирус для диверсии, а как украсть данные из изолированной "воздушным зазором" сети? Вашему вниманию представляется новая крутая технология слива данных от университета Бен-Гуриона! Назвали ее хайпово "COVID-bit". Работает она следующим образом, в современных компьютерах работа процессора очень плотно связана с энергопотреблением, и регулируя нагрузку процессора можно влиять на процесс переключения так называемого импульсного источника питания (SMPS). А он в свою очередь фонит как минимум на 2 метра своим электромагнитным полем. Троян может контролировать этот процесс даже без высоких привилегий и даже внутри виртуальной машины. А электромагнитным полем он может передавать данные, например нажатия клавиш, в режиме реального времени! А чтобы этот сигнал принять нужен всего лишь смартфон/ноутбук и подключенная к ним мини-антенна за $1. В результате данные с полностью изолированного компьютера утекают за стену, пример на видео. Как защищаться от подобного? - Мониторить аномальные процессы. - Мониторить/глушение электромагнитных сигналов. - Генерация случайных нагрузок на процессор. Ну и лучше всего не ссориться с Израилем.

Это ровно то, о чем мы и говорили. Для крипто-индустрии актуальны те же проблемы, те же вектора атак, а самое главное — те же способы защиты, что и для любой другой.

Тем временем, Антон выступил на КОД ИБ: Итоги. Чудесное мероприятие, были рады всех увидеть вживую. Рассказали про "Фокусы при пентестах в современных условиях" и подвели некоторые итоги на дискуссионной сессии с Лукой Сафоновым и Ильей Сафроновым. О том, что будет с рынком ИБ в новом году и куда катится мир кибербеза по нашему мнению, мы расскажем отдельным постом, а пока — просто фоточки!

Кибербезопасность для 3.0 и cryptoфаундеров Концепция 3.0 строится на том, что всё будет правильно функционировать. Блокчейн, смарт-контракты, nft и вот это всё - это прекрасно, если они работают. Но проблема в том, что если ты даже создал математически безупречную идею, которая на текущих мощностях прекрасна - нет никаких гарантий, что так будет всегда. Написали обзорную статью о том, почему ИБ всегда будет актуально для практически любых технологичных проектов в крипте\3.0 и вспомнили несколько самых известных случаев такого рода проблем. На удивление, значительная часть из них — это совершенно типичные для ИБ случаи, к крипте прямого отношения не имеющие. Мораль: оценивайте риски правильно и смотрите на состояние своей инфраструктуры. https://telegra.ph/Kiberbezopasnost-dlya-30-i-cryptofaunderov-12-15

Срочно проверьте обновления Windows! Это не учебная тревога. Обновление безопасности от 13 сентября, должно быть установлено у всех, иначе вы в серьезной опасности. Исправленная в сентябре уязвимость в SPNEGO NEGOEX (CVE-2022-37958), сегодня была оценена Майкрософт как «критическая». Ведь она позволяет злоумышленникам удаленно выполнить код используя любой из протоколов, где используется механизм SPNEGO, к примеру: - RDP - SMB - SMTP - HTTP Ведь в каждом из них SPNEGO включен по умолчанию, начиная с Windows 7. Значит каждая система без обновлений безопасности по умолчанию становится уязвима для целого набора векторов атак! Печально известный WannaCry использовал уязвимость только одного протокола – SMB, и мы помним к чему это привело. А тут уязвимых протоколов как минимум 4. Предыдущая оценка уязвимости, судя по всему, была «прикрытием», чтобы не привлекать внимание злоумышленников к изучению уязвимости до массовой установки обновлений. Теперь, когда это раскрыто, ожидаем волну атак. Рекомендации: - Проверить/установить обновления безопасности от 13 сентября 2022г. - Непрерывный мониторинг внешнего периметра, особенно веб-сервера IIS. - Если обновления установить невозможно, то в качестве компенсирующей меры можно выставить провайдеры аутентификации(authentication providers) в настройках Windows в "Kerberos" или "Net-NTLM" и удалить "Negotiate" из провайдеров по умолчанию. С уважением отметим, что уязвимость обнаружила Valentina Palmiotti. От нее же видео с эксплуатацией.

Утечка из InfraGard InfraGard - доверенная сеть обмена данными о киберугрозах от ФБР между частными, но критически важными стране компаниями. К ней получили доступ, собрали данные участников и базу сейчас продают за $50 000. Для одной только регистрации в сети, необходимо было пройти проверку ФБР. Как утекло? Подали заявку на доступ по украденным документам исполнительного директора одной фирмы из программ-участников. А генеральному директору компании, от которой подавали заявку, ФБР звонить не стали. Проверили видимо только документы на валидность. Выводы: - Даже у ФБР бывают проблемы с безопасностью и откровенная халтура. - Утечка личных документов топ менеджмента могут нести угрозу компании и ее партнерам. Подробности читайте у легендарного Брайана Кребса тут

Пароли не нужны (или пара слов о ключах и двухфакторке) Пароли небезопасны и крайне неудобны, как и многое, придуманное на заре Интернета. Их минусы очевидны: - Возможно подобрать. - Возможно слить. - Возможно перехватить с помощью фишинга. - Сложно запоминать, придумывать и безопасно хранить. И в Интернете будущего паролям явно нет места. Сейчас их недостатки пытаются компенсировать различными вторыми факторами, от PUSH/SMS уведомлений до генераторов одноразовых кодов. Но все понимают, что SMS это не очень безопасно, PUSH уже лучше, но не всегда надежно, а генераторы кодов неудобны для пользователей. Будущее за более эргономичной и надежной технологией – WebAuthn. Технология проста и позволяет веб-приложениям использовать криптографические электронные ключи. Их реализация может быть разной, от специального устройства – токена, вставляемого в порт, до специального хранилища вашего смартфона/ПК. В последнем случае разблокировка смартфона/ПК с помощью лица/пальца/кода даст доступ к хранилищу ключей. Все, больше вам ничего не нужно для входа. Только ключ, который будет одноразово привязан к вашим сервисам. Этот ключ: - Не подобрать. - Не утечет, т.к. нигде не хранится, кроме вашего устройства. - Не перехватить, т.к. он привязан к конкретному источнику. - Нужно только надежно хранить. Буквально на днях эту технологию, представленную в виде сервиса Passkeys, стал поддерживать по умолчанию Google Chrome. Эра безопасности веб-приложений без паролей стала гораздо ближе! Подробнее почитать про это можно тут. Потестировать тут. А почитать как внедряли подобное Mail.ruтут. Там же в конце есть ответы на самые популярные вопросы!

С началом СВО санкционная политика в отношении России привела к коллапсу существующих поставок зарубежного аппаратного обеспечения. За этим последовал дефицит и попытки перейти на новые цепочки поставок, резко возрос спрос на российское оборудование. AM Live: Аппаратное обеспечение для российского ИБ 📅14 декабря, СР, 11:00 В прямом эфире обсудим: 🔸Сможет ли рынок информационной безопасности адаптироваться к новой реальности? 🔸Получится ли избежать тотального дефицита оборудования? 🔸 Россия не производит современные микропроцессоры, чипы памяти, СХД и много чего еще. Есть ли шансы это исправить? 🔸Спрос и предложение на аппаратное обеспечение для ИБ Принять участие