-
Вылавливаем сачком самые трендовые события в информационной безопасности и IT из матрицы жизни
Шифровальщики: новые игроки и старые партнерки
Компания Secureworks подготовила отчет с интересными цифрами о программах-вымогателях и группировках, которые их используют.
Ransomware-сферу пополнили аж 31 новая группировка, прирост к прошлому году составил 30%. При этом исследователи отмечают, что количество группировок не коррелирует с количеством атак шифровальщиков. Для сравнения, средний рост атак шифровальщиков по миру составляет около 8% по сравнению с 2023 годом.
Почему так? А все просто — основную движуху делают партнерки, работающие по RaaS-модели. Так на долю RansomHub приходится около 8% от всех атак.
LockBit же в этом году заметно подустал — представители этой группировки (на самом деле пользователи партнерки) поучаствовали в 17% атак. В прошлом году они же были причастны к каждому четвертому инциденту с применением шифровальщика. Вероятно, все дело в проведенной против них операции «Cronos» с захватом серверов и криптокошельков.
Развитие партнерских программ порождает непредсказуемость — никакой группировки, фактически, нет, есть группа людей, которые используют одну платформу, но разные подходы.
От себя хочется добавить тревожный тренд на удешевление и упрощение работы с шифровальщиками. Уже в ближайшие годы ransomware дотянется буквально до любого бизнеса, процессы которого зависимы от цифры.
Ну а через X лет начнут шифровать умные микроволновки с требованием перевести 5 баксов. С чего, собственно, программы-вымогатели (на тот момент — локеры) и начинались в старые добрые времена.
@cybersachok
Китайские CTF-еры пугают Запад
Нехватка специалистов по кибербезопасности — это мировой тренд. На днях издание DarkReading решило присмотреться к опыту КНР в части решения этой проблемы. Результат, как говорится, убил.
А что Китай?
Еще в далеком 2014-м году товарищ Си пообещал превратить Китай в "кибер-державу", чем очень напугал всех западных партнеров. Слова не разошлись с делом — за 10 лет Китай построил развитую сеть CTF-соревнований, которая позволяет отсеивать лучшие кадры буквально со старших классов.
Специфика китайского подхода заключается в том, что CTF буквально интегрированы в образовательные программы. Это позволяет реализовывать практикоориентированный подход к обучению. Результат также очевиден — Китай входит в пятерку стран по количеству CTF-команд на CTFtime.
В Поднебесной даже существует аналог канадского Pwn2Own — TianfuCup. Такой формат куда серьезнее любых CTF и киберполигонов.
Автор DarkReading отмечает не только успешность китайского опыта, но и необходимость его использования на Западе.
А что в России?
Согласно данным все того же CTFtime, Россия опережает Китай по количеству CTF-команд и входит в тройку по их количеству. Российские команды, входят в мировой топ, прошлый год команда C4T BuT S4D закончила на втором месте.
Из плюсов можно выделить развитое комьюнити, вовлеченность технических вузов. Некоторые вендоры ИБ, а также АРСИБ, проводят соревнования для школьников и студентов, а также "взрослые" кибербитвы.
Вместе с тем, китайский подход отличается большей системностью и акцентом на интеграции с образовательными программами. Такой подход кажется более выигрышным на длительных дистанциях.
@cybersachok
11 ментейнеров на сундук мертвеца Торвальдса
Новость об отлучении от ядра Linux 11 российских разработчиков продолжает быть поводом для холивара. Высказался даже Линус Торвальдс, но лучше бы он молчал.
Хочется привести несколько цитат из письма Сергея Семина, который попал в число удаленных ментейнеров для понимания общей ситуации в комьюнити опенсорс-разработчиков:
1) Никакой благодарности, никаких благодарностей разработчикам за все эти годы самоотверженной работы на благо сообщества. Какова бы ни была причина этой ситуации, разве мы не заслужили большего?
2) Я не могу поверить, что старшие разработчики ядра не подумали о том, что ситуация может выйти из-под контроля с непредсказуемыми последствиями для сообщества, если не сразу, то в среднесрочной или долгосрочной перспективе. Я уверен, что было много способов решить проблему без вреда для системы, но они решили пойти по самому простому пути.
3) Даже если бы я всё ещё мог отправлять исправления или проводить какие-то проверки, после того, что было сделано, моя мотивация делать это в качестве волонтёра просто исчезла. Но прежде чем попрощаться, я хотел бы выразить свою благодарность всем членам сообщества, с которыми мне посчастливилось работать на протяжении всех этих лет.
Что касается отправки мне патча для восстановления — пожалуйста, используйте то, что вы называете
мозгами. Я финн. Вы думали, я буду "поддерживать" российскую
агрессию? По-видимому, дело не только в отсутствии реальных новостей, но и в
недостатке знаний по истории.
Предсказуемо. Опенсурс-опенсурсом, а Linux Foundation это конкретная американская организация. Как и банящий разработчиков GitHub это Microsoft. Понятно каким регуляциям они подчиняются.
Поэтому ядро Linux должно быть своё. Например, от ИСП РАН. И репозитории должны быть свои. И дистрибутивы Linux. Это породит дополнительную фрагментацию и несовместимость, но это выглядит как неизбежные издержки.
Основатель «Хакера» Дмитрий Агарунов часто бывает на ИБ-мероприятиях. И почему-то никогда мне не удавалось с ним познакомиться ни на одном из них.
На конференции в Сочи случайно с ним познакомились. И я под сильным впечатлением.
Человека, настолько свободного от всяческих шаблонов мышления, я не встречал никогда в жизни.
А тут он еще и модерирует некоторые дискуссии. Например, дискуссия о новом законодательстве в сфере ИБ.
Тема для многих болезненная.
Буду делиться тезисами.
Ну и куда же без казачьего кубанского колорита на Кубани. Удалось проникнуться этой культурой и традициями, когда служил в армии недалеко от казачьих станиц.
Читать полностью…
Честно говоря, впервые присутствую на конференци по ИБ, где такое внимание уделяют вопросам международной кибербезопасности.
Хотя, на разные конференции и форумы в последние месяцы меня приглашают часто.
На них, как правило, фокус направлен на технические и бизнесовые вопросы.
Здесь, на Kuban CSC органично сочетают вопросы бизнесовые, технические и глобальные, которые назрели давно.
И слава богу, как говорится.
@cybersachok
Как инсайдер два месяца гадил в код TikTok'а
Компания ByteDance, которая владеет многими азиатскими проектами, среди которых и TikTok, взяла к себе на стажировку Кейю Тяня. Тот, по пока неизвестным причинам, в течение нескольких месяцев умышленно вносил ошибки в код, что в итоге привело к срыву проекта.
Что и как делал Тянь оставим за скобками и остановимся на другом моменте — крупный бигтех в течение двух месяцев не мог обнаружить внутреннего нарушителя, которого буквально только что наняли на работу.
Проблема с инсайдерами стара как мир. Считается, что и "первым советским хакером" был сотрудник Автоваза, который намеренно вызвал сбой конвейера у своего работодателя, чтобы получить премию за устранение бага.
При этом инструменты для борьбы с внутренними нарушителями есть на рынке не первый год. С развитием нейросетей и ML многие из них заметно прибавили в части поведенческого анализа — выявлении паттернов поведения и аномалий, которые могут быть предвестником инсайдерской деятельности.
А чтобы эти продукты становились лучше — разработчикам UBA-систем нужна обратная связь как от действующих, так и от потенциальных пользователей. По этому поводу ребята из Innostage проводят опрос.
Все снова как мы любим — без СМС и регистрации.
@cybersachok
ИБ-мем стал главной новостью понедельника
В пятницу ребята из DC8800 запостили постироничную картинку. Судя по содержанию, некий школьник начитался мануалов по первой ссылке и почувствовал себя гуру социальной инженерии, переименовав apk-файл с неизвестным нашей редакции содержимым, и снабдил его кликбейтной подписью.
Попытки выдать вредоносный файл за нечто другое стары как мир, при этом сценарии могут быть разные. От zip-архивов с названием "Слив Онлифанс 2024" до вот такого вот примитивного "Фото (9)".
В чем тут новость? А в том, что на дворе был вечер пятницы, интересных новостей по ИБ за выходные не прибавилось, и инфоповод "отработали" как тг-миллионники, так и лидеры мнений.
Вот так вот андеграундный блог на 1000 подписчиков сделал инфоповод федерального повода из мема.
@cybersachok
Набагхантить на еду: исследователю безопасности заплатили бонусами
В бот прислали скрин из приватки (не делайте так). В одной из программ хантеру насыпали 300 hundred bucks бонусов. С одной стороны, звучит кринжево. С другой — многие сети быстрого питания, торговые сети и т.д. используют свои программы лояльности, бонусы и промокоды в качестве выплат багхантерам.
Что тут можно сказать? Во-первых, не кринжево использовать бонусы получилось только у «Азбуки Вкуса». Тому есть две причины:
1) «Азбука» предлагала выбор — либо X рублями, либо X+Y, но бонусами.
2) В «Азбуке» можно купить все, от дыни-торпеды до элитного коньяка.
Отсюда можно сделать два простых вывода. Багхантерам — не хантить там, где не нравится.
Владельцам программ — не предлагать свои бонусы, если на них нельзя купить пиво и напиться, чтобы забыть где вообще эта бага была и как ее ковырять.
P.S. Наш читатель, за что ему спасибо, уточняет что баг клиентский, на функционал не влияет, поэтому и поощрили бонусами.
Ставь 🗿, если тебя поощряли бонусами, грамотой или бутылкой бренди за крит.
@cybersachok
КиберЯблоко раздора
Атрибуция APT-группировок все чаще становится темой для политических дискуссий. На этот раз Китай и США не поделили Volt Typhoon.
В феврале этого года представители CISA и других силовых структур Америки сообщили о том, что хакерская группировка провела более пяти лет в критической инфраструктуре страны. И естественно обвинили в этом Китай.
Китайцы же решили подойти к теме творчески. Вместо классической отмазки о том, что это не наше и нам об этом ничего неизвестно, они выступили со встречными обвинениями, дескать Volt Typhoon — проект Госдепа США.
Кто на самом деле за кем стоит — вопрос открытый, о нем весьма фактурно рассказал Олег Шакиров.
По мере того, как киберпространство политизируется, мы будем видеть все больше лучших практик из мира политтехнологий в вопросах кибербезопасности.
А значит будет все меньше кибербеза и больше профанации с целью кого-нибудь в чем-нибудь уличить. А можно было бы конвенцию об ИБ в ООН обсудить.
@cybersachok
Станет ли разработка безопасной?
Центр стратегических инициатив выпустил большое исследование трендов рынка ИБ с прогнозами аж до 2028 года. Одна цитата показалась особенно интересной:
«Рост зрелости команд разработчиков приложений приводит к активному
вовлечению в методологию непрерывной разработки программного обеспечения аспектов информационной безопасности (DevSecOps), обеспечение защиты приложений. Также оказывает влияние и фактор роста числа атак на веб-приложения – ответственные заказчики, оценивая риски, переориентируются на безопасные приложения.»
Впечатления от него двоякие. С одной стороны, тема SSDLC последние годы обязательно присутствует на всех профильных и ИТ/ИБ-мероприятиях: где-то просто доклад, где-то целый трек. Фреймворки, автоматизация, даже услуги по безопасной разработке.
Вместе с тем, количество ИТ-команд, спасибо Скиллбоксу, растет как на дрожжах, и если одни в безопасность уже более-менее научились, то другие — не совсем. Если вспомнить про мобилки, то там все еще грустнее.
Поэтому на поприще популяризации и повсеместного распространения безопасной разработки есть еще огромный простор для работы. А если вы хотите погрузиться в эту тему или прокачать свои скиллы, то ребята из Innostage подготовили добротный опрос.
Все как мы любим — регистрироваться, авторизироваться и оставлять контакты не нужно.
@cybersachok
Всегда говорил, что Казань один из лучших городов России. Все общественные пространства города, инфраструктура, качественные заведения с комфортным ценником и прекрасные люди влюбляют в Казань каждого, кто здесь побывал.
Но есть нюанс — аэропорт. И это накануне саммита БРИКС, куда на днях приедут лидеры многих стран, в том числе президент Китая и глава ООН.
Во-первых, казанский аэропорт явно не справляется с трафиком пассажиров. Он устарел с точки зрения количества терминалов. Сегодня на входе в терминал пришлось очень долго стоять в очереди, потому что на вход работала одна дверь и 3 металорамки.
Во-вторых, как быть, когда в одном из крупнейших аэропортов России нет курилки в здании? На посадку в зал ожидания прошли, а самолет задерживают. Поэтому в туалете аэропорта пахнет дымом, а в унитазе вяло плавают бычки.
В-третьих, на четыре выхода работает одно заведение, где заказ приходится ждать как некоторые сделки в кибербез-отрасли. То есть долго.
Любите Скарлетт Йоханссон? Хакеры тоже
Mcafee опубликовали 2024 U.S. Celebrity Hacker Hotlist. Это рейтинг звезд, цифровые личности которых онлайн-мошенники используют чаще всего.
Образы западных селеб скамеры используют для рекламы сомнительных инвестиционных проектов, криптовалют и приложений.
В первой пятерке места расположились следующим образом:
1) Скарлетт Йоханссон
2) Кайли Дженнер
3) Тейлор Свифт
4) Аня Тейлор-Джой
5) Том Хэнкс
Что в этом цветнике забыл старина Том не очень ясно. Вероятно, была какая-то таргетированная скам-кампания для американских пенсионерок и фанатов Зеленой Мили.
Ждем от отечественных вендоров аналогичное исследование с Мейби-Бейби, Олегом Газмановым, Джиганом и, внезапно, Александром Домогаровым?
Розыгрыш проходок* на закрытую тусовку багхантеров
22 ноября BI.ZONE Bug Bounty проведет закрытую церемонию награждения BUGS ZONE 3.0, где соберется комьюнити лучших исследователей. В московском лофте наградят самых активных багхантеров и подведут итоги ивента. Конечно же, будут еда, напитки и доклады от спикеров. А для самых стойких — афтепати.
Вы тоже можете попасть на тусовку с крутейшими багхантерами, приняв участие в розыгрыше проходок.
Условия простые:
1. Подпишитесь на канал BI.ZONE Bug Bounty.
2. Напишите свой ник на платформе BI.ZONE Bug Bounty в комментариях под этим постом. Если еще не зарегистрированы — самое время :)
Два победителя будут определены случайным образом 11 ноября. Желаем удачи!
*НДФЛ не облагается в соответствии с законодательством Российской Федерации.
Реклама.
Хакеры бьют бизнес по почкам почтам
Оно и понятно, ведь на рабочей почте можно найти много всего интересного, от деловой переписки до VPN-конфигов и паролей.
Получить доступ ко всему этому добру киберпреступникам помогают BEC-атаки (business email compromise). Часто под BEC-атаками понимается доставка полезной нагрузки, ссылки или вредоноса, в первом же письме, с целью получить учетную запись или заразить машину получателя. Но не всегда.
Компания Vipre в своем отчете сообщила, что 89% атак BEC, которые она предотвратила, были связаны с выдачей себя за авторитетных лиц. Это значит, что атакующие притворялись легитимными пользователями, возможно — контрагентами, подрядчиками или клиентами.
В общем случае схема выглядит следующим образом: злоумышленник представляется неким лицом, которому жертва регулярно совершает платежи. В копию письма, помимо сотрудника, ставится левая почта его босса, с которой атакующий и требует срочно провести платеж.
И это работает. Например, в августе этого года компания Orion оплатила мошенникам счета на 60 миллионов долларов.
Ну и куда без классики. По данным все того же исследования, вредоносные вложения составили 64% электронных писем за квартал, в то время как только в 36% использовались ссылки.
@cybersachok
И еще пару слов про прошедшую конференцию Kuban CSC.
Помимо того, что краснодарцы смогли провести конференцию на высоком международном уровне, пригласить туда иностранных спикеров и гостей, создать невероятные условие для гостей, упор, конечно же делался на регионы Кавказа и Юга России.
Кавказ для меня — особенное место, так как я там служил. Многие стереотипы, которые есть, например, про округ у москвичей, у меня после службы сразу пропали, потому что я увидел реальную картину: регион очень сложный по культурному, национальному присутствию.
На Kuban CSC присутствовали представители разных регионов СКФО. И они, конечно же, тоже заинтересованы в повышении уровня кибербезопасности в своих республиках.
Пообщался с некоторыми представителями СКФО. Уровень погружения в тему невероятный.
Уехал с ощущением внутреннего спокойствия за кибербез Северного Кавказа.
Итоги CTF на Kuban CSC 2024:
3 место команда CR4.SH
2 место команда ulitsanineteenofivegoda
1 место команда suslo.pas (500 000 призовой фонд).
Краснодарское правительство, Ассоциация цифрового развития Красндорского края и Департамент информатизации сделали по-настоящему мощную международную конференцию.
Не знаю ни одного региона России, который проводил бы у себя ИБ-конференции такого уровня.
Хакеры довели нейросеть до восторга
Исследователи из Palo Alto Networks Unit 42 нашли новую вредоносную методику для взлома больших языковых моделей.
Никаких инструментов и уязвимостей — ломать нейросети можно прямо в диалоговом окне. Очередная уже техника получила название Deceptive Delight, что можно перевести как обманчивый восторг.
Методика во многом схожа с уже известной техникой "побега из тюрьмы" (Crescendo). Основное отличие заключается в тактике внедрения вредоносной нагрузки в промпт.
В этом же исследовании представители Palo Alto привели интересные цифры по галлюцинациям нейросетей: не менее 5,2% для коммерческих моделей и 21,7% для моделей с открытым исходным кодом.
«Эти результаты не следует рассматривать как доказательство того, что ИИ по своей сути небезопасен. Скорее, они подчёркивают необходимость многоуровневых стратегий защиты для снижения рисков взлома при сохранении полезности и гибкости этих моделей» — заявили исследователи.
Жаль, что исследователи не сказали, когда нейросети обретут эту многоуровневую, эшелонированную и комплексную защиту.
@cybersachok
Забрал на стенде PT новый Positive Research. Это какая-то смесь Хабра, авторских блогов, но в качественной бумажной форме и с хорошим оформлением, написанная на бизнесовом языке.
Если хотите объяснить важные вещи про кибербез консервативному начальству, советую почитать.
В Сочи на Kuban CSC уже съезжаются участники: представители компаний и госструктур
Читать полностью…
Мы, когда в первый день отправили стажера из физтеха на первую линию SOC
Читать полностью…
Yandex Cloud запустил сертификацию Security Specialist для тех, кто решает задачи по защите облачных систем
Статус сертифицированного специалиста подтвердит вашу квалификацию и повысит ценность на рынке труда, а подготовка к экзамену поможет систематизировать знания о платформе Yandex Cloud.
Вот какие темы будут на экзамене:
- Основы безопасности в облаке
- Аутентификация и управление доступом
- Сетевая безопасность
- Безопасная конфигурация виртуальной среды
- Шифрование данных и управление ключами
- Сбор, мониторинг и анализ аудитных логов
- Управление уязвимостями
- Защита приложений.
Подготовиться к экзамену помогут бесплатные курсы, вебинары, статьи и другие дополнительные материалы. Все это собрано на сайте программы сертификации. Переходите по ссылке, изучайте примеры вопросов и регистрируйтесь на экзамен. До конца 2024 года стоимость составит 5000 ₽ вместо 10 000 ₽!
Давайте будем честны. В мировом кибербезе сейчас есть несколько важных трендов, пока что не оформившихся во что-то полноценное.
Первое — кибербез становится политизированным. Про легальные киберармии в некоторых государствах знают все.
Второе — количество политически мотивированных хакерских атак не уменьшается.
Третье — образовался настоящий вакуум в сфере международного регулирования и сотрудничества в сфере кибербезопасности, в частности много вопросов насчет того, что в международном пространстве позволено, а что нет, где мы сотрудничать можем, а где нет.
Ну а самое яркое — протекционизм на рынке кибербеза, который красиво упаковывается как борьба против слежки за гражданами.
Все это в совокупности создает условия для ускорения расширения международного сотрудничества, выработке алгоритмов совместных действий, экспорту российских продуктов, обсуждения законодательных инициатив и импортозамещению.
24 октября в Сочи уже в пятый раз пройдет международная конференция по ИБ «Kuban CSC».
В рамках конференции запланировано 4-е заседание диалога Россия — АСЕАН по международной информационной безопасности.
Конференция пройдет при поддержке ФСБ, СК, Аппарата СБ, МИД РФ, МВД, Генпрокуратуры и Правительства Краснодарского края.
За новостями конференеции можно следить в телеграм-канале.
@cybersachok
SafeCode 2024 Autumn — конференция по безопасности приложений. Это мероприятие для всех, кто хочет писать безопасный код — разработчиков, специалистов SAST/DAST, AppSec-инженеров, security-чемпионов и тестировщиков.
Конференция пройдет 30 октября, онлайн.
В программе более 15 выступлений:
— Доклады о безопасной авторизации, бинарных атаках, процессах DevSecOps, прикладной криптографии, анализе кода, фаззинге и угрозах генеративного ИИ.
— Интервью с экспертом ИБ Денисом Макрушиным, мейнтейнером CPython Никитой Соболевым, экспертом по кибербезопасности из Kaspersky Сергеем Головановым.
— Воркшоп по безопасным контейнерам и мастер-класс по поиску уязвимостей сайта.
Подробности о докладах — на сайте SafeCode.
При покупке билета «Для частных лиц» за свой счет используйте промокод на скидку 15% — SACHOK
Билет на конференцию можно купить за счет компании. Почему это выгодно не только вам, но и работодателю — читайте в статье на VC.
Реклама. ООО «Джуг Ру Груп». ИНН 7801341446
Встретили Оксимирона(иноагент) на Большой Никитской. Точнее его конкурента.
Пока курили с приятелем у бара, подошел паренек Женя из Питера и начал фристайлить про кибербез, Касперского, ботнеты и DDoS-атаки.
Советую крупным корпорациям приглядеться к таланту, а Кибердому позвать к себе.
@cybersachok
Наконец-то лигалайз
Госдума одобрила легализацию белых хакеров. Почти. Пока что законопроект был принят в первом чтении.
Новый нормативный акт дает право любому «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия».
После обнаружения уязвимости исследователь должен уведомить об этом правообладателя в течение 5 дней.
Исключение — если местонахождение правооблаадателя обнаружить не удалось.
@cybersachok
Важные новости от «Лаборатории Касперского» 😎
Открылся новый набор на оплачиваемую стажировку SafeBoard по направлению «Анализ защищенности» — переходи на новый уровень 😎
Присоединяйся, если ты учишься в вузе в Москве/МО или в Школе 21 и сможешь работать от 20 часов в неделю. Начни карьеру в ИБ еще до окончания учебы.
Предложение для тебя, если хочешь научиться:
● исследовать и анализировать киберкриминальные ресурсы и угрозы на основании открытых данных;
● проводить пентесты и выявлять уязвимости;
● анализировать безопасность веб-приложений и сетевой инфраструктуры.
Тебя ждет зарплата, компенсация питания и крутая атмосфера в офисе: спортзал, сауна, игровые комнаты, кофейные паузы и многое другое 😇
❗️Зарегистрироваться можно до 27 октября, но лучше не откладывай и принимай решение сразу
Согласимся с Олегом Шакировым. Институт репутации, в контексте инцидентов ИБ, вещь достаточно эфемерная.
Но в контексте PR тема гораздо шире. Вспоминается кейс с утечкой исходного кода у одной большой российской компании, которая в массовом сознании запомнилась разве что мемом про самый большой вклад в опенсорс. А потом была препарирована на крупных западных конференциях.