Термин «патч» в контексте обновления ПО пришел с тех времен, когда программы писали на перфокартах «с дырками». Когда вносились изменения в код, просто наклеивали заплатку (англ. patch) из бумаги на нужное отверстие. Так и пошло 😂
Читать полностью…Польскую Naftor, которая занимается в т.ч. и кибербезом, взломали Blackcat 😺Тут вам и про Zero Trust в широком смысле, и про атаки на подрядчиков, что является в России проблемой 🔤🔤Не устаю напоминать две вещи:
1️⃣ Ломают всех, даже ИБ-компании
2️⃣ На случай взлома вашего ИТ и ИБ-подрядчика надо иметь соответствующий плейбук и действовать в соответствии с ним 🐈
ЗЫ. На второй картинке свежее объявление о продаже доступа в одну европейскую ИБ-компанию.
Вторая презентация с #soctech была посвящена нюансам выбора технологического стека для SOC
Читать полностью…Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...
Читать полностью…Во... тут все без ошибок. И даже Россию упомянули, куда уж без нее 😈
ЗЫ. Вообще, когда говорят, что ИИ еще далеко до человека и вообще все это детский сад, то я смотрю на такие картинки и понимаю, что я бы такое никогда сам не нарисовал. А если бы кого-то просил, то стоило бы мне это не одну тысячу рублей. А тут ты берешь DALL-E или Midjourney и они тебе рисуют все, что нужно. И правки вносят без раздумий и споров. И разговоров "я художник, я так вижу" они тоже себе не позволяют 👎 Может и хорошо, что ИИ еще далеко до человека? 🤨
И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠
ЗЫ. Спасибо подписчику, что обратил внимание
Второй выступление на #SOCtech у меня посвящено мониторингу атак на|от подрядчиков. Аппаратные импланты, SLSA, TLS Fingerprinting с хешами JA3, каталог шаблонов атак на цепочку поставок MITRE, что такое syft и какое отношение он имеет к SBOM и т.п.
Читать полностью…Сегодня на #SOCtech у меня два выступления. Первое посвящено выбору технологий SOC в зависимости от различных исходных данных. На что обращать внимание при выборе SIEM, как режим работы SOC влияет на необходимость технологий для Threat Hunting и Forensics, когда нужны конвертеры правил для SIEM, что такое тесты Atomic Red Team и многое другое...
Читать полностью…Провокационное, мягко скажем, название для выступления. Надеюсь там не было дано инструкций для bad guys 👨💻 Хорошо, что доступ к записям выступлений закрытый и возможен только для участников или тех, кто готов заплатить 3️⃣2️⃣0️⃣0️⃣0️⃣ рублей (что для юрлиц, что для физлиц, без разницы). А techtalk так и вовсе не выкладывали 🤔
Читать полностью…В «украденной» в одном непубличном канале блок-схеме действий в случае инцидента не хватает одного варианта отмазки - «там не все данные клиентов, а только малая часть».
Вот и Okta по этому пути пошла. Сначала она заявила об утечке данных всего 1% клиентов. А теперь выясняется, что утекли данные всех 100% заказчиков.
Вы же знаете, что делать, если у вашего подрядчика, особенно в области ИБ, утечка?
Что сделает нормальный ИБшник, когда узнает о том, что на компании, использующие такие же, как и у него решения, были совершены кибернападения и они были успешны? Конечно, же начнет сокращать площадь атаки:
1️⃣ прикроет доступные извне порты PCOM-устройств,
2️⃣ поменяет пароли, особенно заданные по умолчанию (у Unitronics нет MFA в решениях),
3️⃣ настроит периметровые средства сетевой безопасности для блокирования доступа к известным портам,
4️⃣ поставит инфраструктуру на дополнительный мониторинг,
5️⃣ обновит все ПО и будет отслеживать его целостность (как на ПЛК и HMI, так и на других компонентах АСУ ТП)
6️⃣ по возможности обеспечит целостность сетевых коммуникаций (хоть наложенными средствами)
7️⃣ запросит у вендора рекомендации по ИБ его оборудования
8️⃣ проведет киберучения для своей команды по реагированию на инциденты.
Но нет, американские ИБшники не такие; они думают, что палестинско-израильский конфликт их не коснется и что океан, разделяющий их и пропалестинских хакеров, является надежным препятствием для кибератак. Но нет...
Вот у отдельных индивидуумов 💻 жизнь интересная. Жаловаться на мои заметки в Telegram ✈️ и потом со мной делиться сим достижением.
А я чего? Я ничего. Продолжаю писать о том, что мне интересно. Подстраиваться под чужие ожидания в отношении меня, которым я не соответствую, я не планирую 🖕
Пусть человек хоть так сублимирует свою энергию 🐇 и мелкую моторику развивает в процессе написания жалоб. Так, глядишь, настрополится и можно в кибердружинники или Лигу безопасного Интернета попроситься - там барабанщики такой тонкой душевной организации нужны 🖕
Скромненькая, почти двухсотстраничная презентация с анализом использования легитимных коммерческих средств удаленного доступа (AnyDesk, TeamViewer, ConnectWise, FileZilla, WinSCP и т.п.) в деятельности хакеров. Артефакты, индикаторы, примеры...
#soctech
не помогли два новых патча
мне залатать дыру внутри
и чтоб закрыть ее решаюсь
на три
гисы багбаунти боятся
не из за рейтинга цэтэ
их гложет неопределенность
и энтропия зеродей
ℹ️ Прекрасный дисклеймер. Первый раз такое вижу, но прям хорошо 📌 А то так и за несанкционированный доступ к ПДн можно было бы загреметь. Ведь субъекты не давали согласия на предоставление такого доступа журналистам, пусть и вследствие утечки.
ЗЫ. Это в тему взлома национальной лаборатории Айдахо при МинЭнерго США.
Совет, обращать внимание на ошибки в тексте, что должно выдать неграмотных фишеров, скоро канет в лету. ИИ не ошибается в написании слов и operator у него никогда не будет opeator’ом 😱, а ransomwar пишется с e на конце ✍️
Читать полностью…🆕 Не успело ГУР украинского МинОбороны взять на себя, публично признав, взлом Росавиации, в гонку публичных заявлений о взломе российских организаций включилась и СБУ, руководители которой недавно были отправлены в отставку по обвинению в коррупции. Украинская спецслужба призналась в том, что вместе с хакерами стояла за взломом российского Минтруда и соцзащиты 🆒
Нечасто можно услышать признание, что одно государство и конкретное ведомство, стоит за нападением. А тут уже третий пример (первым было признание Минцифры год назад, что оно курирует ИТ-армию Украины). Все меняется в нашем кибермире - геополитика, политика, дипломатия 🛡
С профессиональным праздником, коллеги! 👍 С международным днем защиты информации! 🥳 Пусть наш труд оценивают по достоинству, а мы не будем бояться брать ответственность за тот результат, к которому мы стремимся! Ура! 👍
Читать полностью…Свежий проект RULER (Really Useful Logging and Event Repository) про то, какие логи и какие события в них наиболее полезны при расследовании инцидентов. Проект только в самом начале своего развития и пока там данные только по антивирусам (из наших там только Каспер) и средствам удаленного администрирования. Автор приглашает всех участвовать.
ЗЫ. Как пишет автор, проект не про то "что надо регистрировать", а про то, что включено по умолчанию и приносит пользу.
#soctech
Коллекция публичных отчетов об инцидентах с индикаторами компрометации, раскрытых самими компаниями-жертвами или с их согласия. Нечасто компании признают факт инцидента ИБ у себя, а уж выложить детальные результаты расследования тем более 😎
#soctech
Сначала сломали американскую Idaho National Lab, занимающуюся ядерной энергетикой. Потом хакнули китайскую China Energy Engineering Corporation и почти в тоже самое время словенскую Holding Slovenske elektrarne (HSE). Электроэнергетике приходится несладко, как и вообще предприятиям, которые раньше считали себя неуязвимыми. "Кто будет ломать АСУ ТП? Это же надо в ней разбираться!", - говорили они. "Да у нас вообще никаких открытых протоколов, только проприетарные, что делает нас более защищенными!" И вот история начинает показывать, кто был прав.
Иранская хакерская группа Cyber Av3ngers взломала систему Муниципального управления водоснабжением города Аликвиппы в штате Пенсильвания. Взлому подверглась система АСУ ТП израильской Unitronics, решения которой используется преимущественно в США, Австралии и Италии, но есть заказчики и в России. Unitronics строила свое решение на базе проприетарного протокола PCOM, который позволяет удаленно управлять промышленными контроллерами (TCP-порт 20256). И как это часто бывает, PCOM не содержит ни механизма шифрования, ни аутентификации, без которых можно не только перехватывать управляющий трафик, но и вмешиваться в него - можно менять конфигурацию устройств и даже прерывать взаимодействие между ПЛК и управляемыми датчиками и исполнительными устройствами.
Доступность многих устройств Unitronics через Интернет и наличие модуля в Metasploit делает компании, использующие решения израильского вендора, легкой мишенью. И ладно, если бы речь шла о какой-нибудь 0-Day. Но нет. В апреле этого года уже было зафиксировано несколько атак в рамках кампании #OpIsrael, направленной против организаций из Земли Обетованной, которые использовали решений Unitronics. После 7-го октября атаки вновь повторились и мы видели немало заявлений про-палестинских группировок о взломе/проникновении в системы промышленной автоматизации Израиля. Были среди них и решения Unitronics.
Каково это быть чуваком, которого будут звать «коровьим хакером» или «коровьим пентестером»? 🐄
Но вообще странно. Они пишут, что они первые провели анализ IoT-протокола в сенсорах, висящих на коровах. Но я про это рассказывал (а про что я еще не рассказывал и не писал?) еще в году 2010-м или около того, опираясь на известные уже тогда исследования по взлому датчиков, отслеживающих местоположение и «здоровье» коров 🐄
Угнать стадо коров, подменив геолокацию, это вам не шутки. В Техасе за такое и грохнуть могут 🤠
Выложены все видео-записи с прошедшей Moscow Hacking Week:
🔤 Standoff 101 (28 видео)
🔤 Standoff 12 (42 видео)
🔤 Standoff Talks (19 видео)
🔤 Standoff Hacks (standoff365/featured">скоро)
С дня благодарения (четвертый четверг ноября) в США начинается праздничный сезон, длящийся до Нового года. А у хакеров начинается предрождественский и предновогодний чёс 🎁
Будьте внимательны! Самое время провести повышение осведомленности среди сотрудников, фишинговые симуляции 💌 и вот это вот все. И помните, что «Черной пятницей» все не заканчивается!