-
Вылавливаем сачком самые трендовые события в информационной безопасности и IT из матрицы жизни
Сегодня мне исполняется 26!
Кто хочет прислать в подарок бутылку виски, присылайте не дерьмовый.
Всех обнял💔
Уже есть список номинаций, которые мы утвердили для голосования:
1. Слово года в ИБ
2. Тренд года в российском ИБ
3. Мероприятие года
4. Лучший кибербез канал
5. Вклад в маркетинг/PR (для директоров по маркетингу и PR и не только директоров)
6. Компания номер 1
7. Самый рабочий NGFW
8. На первой линии(номинация для SOC-центра)
9. Лучший Баг Баунти
10. Наше любимое мероприятие
Всего запланировано 13 номинаций.
Ждем предложения по дополнительным номинациям в бот.
Пацан к успеху не пришел
Николас Майкл Клостер из Канзас-Сити решил прорекламировать свои услуги в качестве специалиста по кибербезопасности. Теперь ему грозит до 15 лет тюрьмы. Как же так вышло?
Для рекламы своих услуг Николас не придумал ничего лучше, чем показать свои умения на практике. В качестве таргета он выбрал местную сеть фитнес-клубов и устроил там полноценный физический редтим.
После физического проникновения в служебные помещения Клостер написал письмо одному из его владельцев, которое можно посмотреть полностью в обвинительном заключении. Вот небольшая цитата:
Мне удалось обойти вход в систему камер безопасности, используя их видимые IP-адреса. Я также получил доступ к настройкам маршрутизатора GoogleFiber, что позволило мне использовать [удалено] для изучения учётных записей пользователей, связанных с доменом. Если я могу получить доступ к файлам на компьютере пользователя, это указывает на потенциал для более глубокого доступа к системе.
Едем в Магадан?
Пока все ИБ-сообщество готовится к новогодним корпоративам, Государственная Дума активно трудится. Ко второму чтению одобрен законопроект, вводящий уголовную ответственность за создание или обеспечение работы сайтов, страниц сайтов и программ, предназначенных для незаконного оборота персональных данных.
Он вводит ряд поправок, в частности, в статью 272.1 УК РФ. С полным набором депутатских новелл можно ознакомиться тут.
Казалось бы, что могло пойти не так? 3аконопроект N 502113-8 в текущей редакции в принципе не предусматривает добросовестного использования баз данных, их обработки, передачи и т.д.
Кто же занимается этим легитимным, добросовестным использованием слитых БД? Внезапно — почти весь рынок ИБ.
Например, утечки изучаются с целью поиска утекших паролей и своевременного предупреждения пользователей. Мониторингом утечек для бизнеса занимаются самые разные отделы — TI, SOC, в рамках услуг brand protection.
Без изучения утечек банально нельзя их верифицировать — реальные ли это данные или очередная компиляция.
Получается ситуация, когда 99 % атакующих на этот закон наплевать, поскольку действие УК РФ не распространяется на днепропетровские колл-центры.
При этом этичный исследователь рискует поехать на четыре года цифрового детокса, если только за ним не стоит штат юристов, как у крупных ИБ-вендоров.
Комьюнити по этому поводу уже справедливо возмутилось. Насколько это повлияет на законопроект — скоро узнаем.
Ситуация по духу и смыслу напоминает историю с парсингом данных. Там ГД тоже ударно поработала перед Новым Годом, а к концу января парсинг уже запретили. Помог ли закон в борьбе с парсерами из-за рубежа — статистика умалчивает.
@cybersachok
Хоп, хей, слив Graykey!
На днях журналистам из 404 Media некие добрые люди передали интересные таблички, содержащие в себе подробное описание Graykey. Полюбоваться их содержимым можно тут и тут.
Graykey — это продукт компании Grayshift, предназначенный для получения доступа к смартфонам. Его широко используют следственные органы разных стран. Проще говоря — шайтан-коробочка, которая потрошит смартфоны, включая iPhone, Samsung и даже наши любимые Xaomi. Посмотреть как она выглядит можно в официальном промо-ролике.
Достоверность данных подтвердили сразу несколько независимых источников. Ценность самих данных, при этом, не очень велика — некоторую часть информации из табличек можно буквально найти на официальном лендинге Grayshift и в их промо-материалах.
Некоторые издания делают сенсацию из того, что этот инструмент не может взламывать Айфоны под ОС 18 и 18.1. Но это и не удивительно, ведь появилась обновленная ОС только в сентябре, и в Grayshift просто еще не успели купить под нее эксплойт подобрать соответствующую открывашку.
История интересна не столько слитой информацией, сколько ее источником. Кто и при каких обстоятельствах слил 404 Media информацию о возможностях Graykey мы не знаем. Но интуитивно хочется поставить на инсайдера внутри компании.
Кстати, российских мобильных ОС в списке мы не заметили, чем не аргумент для потенциального экспорта в загнивающие капстраны?
@cybersachok
Через 10 дней вступают в силу новые правила, по которым VPN нельзя будет упоминать. Эта информация будет считаться запрещенной в РФ.
Мы уже готовимся к вступлению в силу нового законодательства и заменили в текстах и постах на всякий случай абреввиатуру из трех букв на ЗАПРЕЩЕННАЯ В РФ ИНФОРМАЦИЯ.
Как это будет выглядеть — на скриншоте.
Живем по понятиям правового поля. И вы живите по понятиям тоже!
Сноуден записал весь бигтех в оборотни
На днях наш соотечественник Эдвард Сноуден выступил хедлайнером на конференции NEAR [REDACTED] в Бангкоке. Был бодр, улыбался, ел орешки кешью.
Сама конференция посвящена AI и блокчейн-технологиям, но выступление Эда посвящено как раз вопросам приватности в условиях быстро развивающихся технологий.
Доклад получился довольно философским, есть несколько интересных тейков:
1) Цифровой суверенитет возможен только при существовании собственных систем и моделей. Речь о тех-самых независимых и прозрачных блокчейн-системах, web 3.0. Но и на контекст цифрового суверенитета государств тоже хорошо ложится, чем не популяризация импортозамещения?
2) Бигтех наплевал на приватность и активно использует все доступные данные для обучения нейросетей, алгоритмов и других продуктов. Проще говоря — монетизирует своих пользователей по максимуму, в ущерб их правам и интересам. Трудно поспорить.
3) Все нейросети из всего многообразия делают нечто усредненное, с небольшим n-процентом оригинальности.
4) В мире господствует усредненный показатель, который выгоден бизнесу и государству. Это убивает идентичность.
В конце Сноуден призвал всех развивать критическое мышление и заниматься саморефлексией.
Можем порадоваться за пентестеров, которые специализируются на взломе AI/ML, их будущее в этом контексте выглядит светлее некуда.
@cybersachok
Бонни и Клайд: хакерская версия
В недалеком 2022 году в любовное гнездо россиянина Ильи Лихтенштейна и американки Хизер Морган ворвались копы с обвинениями в грабеже дилижансов взломе биржи Bitfinex и кражу 120 тысяч биткоинов.
И, кажется, у этой истории будет счастливый конец. Илья уже получил от американского суда пять лет. Изначально хакеру грозило 20 лет за факт кражи и еще 5 за мошенничество. С учетом примерного поведения и уже проведенного в заключении времени — у него есть все шансы скоро оказаться на свободе.
Хизер Морган, вероятнее всего, получит еще меньше. Решение суда должно быть принято как раз сегодня, 18 ноября.
Когда в 22 году американские силовики смогли вернуть чуть более 90 тысяч биткоинов с счетов парочки, Минюст назвал это крупнейшей конфискацией в истории.
Немного цифр: на момент кражи это был "скромный" 71 миллион долларов. На момент изъятия Минюстом — уже 4,5 миллиарда, а на сегодняшний день и вовсе крышесносные 11 миллиардов долларов. Ставь лайк если в 2012 потратил 200 биткоинов на покупку скина в игрушке или пиццу.
Не только мы следим за приключениями гангстерской парочки — желание снять о них сериал изъявил НТВ Netflix. А Forbes планирует выпустить документальный фильм.
Остается только один вопрос: если 90 тысяч биткоинов удалось вернуть, то кто приделал ноги оставшимся 30 тысячам?!
@cybersachok
Про нацию хакеров
В одном из своих выступлений Юрий Максимов сказал что россияне — это «нация хакеров». И действительно, даже за последние годы мы научились, например, находить способы купить игры на PlayStation и другой заграничный софт, проводить платежи без SWIFTa и много чего еще.
Но тут один индус попросил подержать его пиво.
Парень из страны специй и дешевых разработчиков приобрел для своей бабули AirPods Pro 2 в качестве слухового аппарата. Но быстро выяснилось, что этот функционал в его регионе недоступен. Почему недоступен, кстати, вообще не понятно.
Наш герой оказался не так прост и включил то самое хакерское мышление. После того, как смена IP-адреса не помогла, он засунул iPad вместе с платой ESP32 в микроволновку.
Плата отправляла запросы через сотню SSID-адресов в Калифорнии, а СВЧ-печь выполняла функцию клетки Фарадея и глушилки для Wi-Fi.
После четырех часов такой «прожарки» iPad убедился, что находится в США. Затем к нему подключили AirPods Pro 2 и наконец активировали режим слухового аппарата.
Какая тут мораль? Чем больше в киберпространстве ограничений, тем больше людей научатся их обходить.
@cybersachok
Тарификация ЖКХ уязвимостей
Минцифры рассматривает введение «государственных трафив» за найденные в рамках багбаунти уязвимости — такой информацией на прошлой неделе поделился Александр Шойтов, заместитель министра Минцифры.
Вопрос пока что находится на стадии очень раннего обсуждения, но уже можно предположить, что основная аудитория тарифов — это федеральные и региональные ГИСы, которые за последний год идут на багбаунти достаточно активно.
Сейчас вполне можно найти региональную программу, где за critical-уязвимость полагается выплата в 30-50 тысяч рублей. При наличии общих тарифов владельцам багбаунти-программ, по идее, будет проще обосновать бОльший бюджет перед своими финансовыми отделами. Но это при условии, что тарифы будут соответствовать рынку.
В теории, тарификация багбаунти может быть полезна и для бизнеса. Многие компании не запускают полноценные багбаунти-программы, но взаимодействуют с исследователями безопасности. В таком случае у них появится наглядный ориентир по минимальным выплатам — сократится количество случаев, когда за найденную багу исследователю будут предлагать ветку бонусы.
Есть и обратная сторона — не совсем порядочные багхантеры могут преподносить этот стандарт как обязательный, и пытаться требовать баунти с рандомных компаний, набив пачку уязвимостей сканером.
Тема сложная, рисков много, поэтому будем с интересом наблюдать за развитием событий.
@cybersachok
Среди тонны дискуссий о том, как изменить мир ИБ к лучшему на SOC Forum, удалось найти интересную пленарную дискуссию «Хакнуть будущее: кибербезопасность как конкурентное преимущество».
Внимание мое особенно привлекли некоторые тезисы Дмитрия из желтого банка и Ивана Вассунова из RED Security, который говорил именно в контексте рынка и трендов для него.
- В 2024 году количество кибератак выросло в 1,5-2 раза по сравнению с прошлым годом. Именно поэтому кибербезопасность перестала быть просто опцией, теперь это УТП для компаний.
- В стартапах на самых ранних этапах можно забить болт на ИБ, но как только попрет — сразу бежать за ИБ-сервисами, чтоб самим не заморачиваться.
- Атаки через подрядчиков увеличились на 50%, а целенаправленные атаки — на 60%, поэтому пентестим контрагентов до посинения.
- Не просто инструменты, а результат. Пора переходить от предложения отдельных сервисов и продуктов к комплексным решениям, которые дают реальную ценность заказчикам.
Лично мне показалось, что в Иване Вассунове есть много той энергии, которая позволяет людям менять тренды в отрасли и задавать направление корабля.
Эта энергия называется трезвым умом и здравым смыслом, чего сейчас многим не хватает.
Пищи для размышления после этой дискуссии осталось много. Советую посмотреть запись с SOC Forum, когда она появится.
@cybersachok
В комментарии журналистке я говорил, что мы планируем регистрировать канал. Эту фразу в текст окончательного варианта статьи не вставили. Еще вопросы?
/channel/notlukatsky/1702
Прими участие в «Хакатоне по кибериммунной разработке 3.0» от «Лаборатории Касперского» с призовым фондом 1 000 000 рублей!
Регистрация на хакатон открыта до 15 ноября
Приглашаем разработчиков, аналитиков, архитекторов ПО, экспертов по информационной безопасности и студентов программирования и кибербезопасности. Участвуй индивидуально или в команде до 5 человек.
Тебе предстоит разработать систему удалённого управления автомобилем для каршеринга, устойчивую к кибератакам. Специальных знаний в автомобильной отрасли не требуется — задача будет понятна всем, независимо от опыта.
Это твой шанс прокачать навыки в кибербезопасности и пообщаться с экспертами «Лаборатории Касперского».
Ключевые даты:
• 15 октября – 15 ноября – регистрация участников
• 8 ноября – митап с экспертами и игра «Огнеборец»
• 15 ноября – старт хакатона
• 17 ноября – дедлайн загрузки решений
• 22 ноября – подведение итогов и объявление победителей
Регистрируйся, прояви себя и внеси вклад в безопасность каршеринговых сервисов
Дали комментарий по поводу нового реестра для блогов с более, чем 10 000 подписчиков для московского новостного портала MSK1.ru
Читать полностью…
Я, когда мне говорят, как хорошо нам будет в 2025 году с полным импортозамещением
@cybersachok
В прошлом году мы проводили голосование по итогам года в ИБ в Telegram.
Голосование вышло шумным, скандальным и вызвало много споров, а также атаку ботов на нас.
Алексей Лукацкий наше голосование критиковал, а Secator выступил с адекватной позицией в защиту, заявив, что ботов в опросе крутили не мы.
Проводим «Итоги года» в этом году в другом формате?
Приглашаем на конференцию «Сетевая безопасность»! 🛡
Мероприятие будет полностью посвящено отечественным средствам защиты информации сетевой инфраструктуры. Не пропустите шанс присоединиться к лидерам отрасли и обсудить важные вопросы!
Основные темы конференции:
- Способы измерения производительности и функциональности средств сетевой безопасности и Anti-DDoS
- Требования к межсетевым экранам нового поколения (NGFW)
- Защита web-приложений и электронной почты, WAF и SEG
- NTA, NDR, UEBA — поведенческие и статистические системы защиты на основе анализа трафика
- VPN-шлюзы и проблемы инспекции SSL/TLS трафика
- Песочницы, Deception, Honeypot
- Обеспечение безопасности удаленного доступа
- Использование криптографии в обеспечении сетевой безопасности
Зарегистрироваться
Подробности:
- Место: Москва, «Холидей Инн Сокольники»
- Дата: 9 декабря 2024 года
- Условия участия: Для представителей органов государственной власти, финансовых организаций, компаний ТЭК, промышленности, транспорта и ритейла участие бесплатное при обязательной регистрации на сайте.
Умножаем любовь к математике, чтобы разделить ее с вами
ИТ-специалисты, знаете, какой праздник 1 декабря? Т-Банк зовет отмечать День математика. В программе лекции от профессоров из МФТИ, ВШЭ и ЦУ, настольные игры, математический диктант и другое.
Мероприятие пройдет в офисе Т-Банка в Москве, а из другого города можно подключиться онлайн. Чтобы весело провести время, пообщаться и узнать о математике еще больше регистрируйтесь тут
В Америке ожидают откат инициатив по кибербезу
Не так давно мы говорили о политизации сферы информационной безопасности. И вот, в США назревает интересный кейс, связанный с приходом к власти нового президента.
За последние четыре года в Штатах было много инициатив, направленных на разные аспекты кибербеза. Это и регуляторика внедрения ИИ, и судебные разбирательства с вендорами спайваре-софта (привет, NSO Group), и много чего еще. Можно отметить успехи американских спецслужб в борьбе с шифровальщиками — даже за последний год мы видели несколько громких кейсов, включая LockBit.
Американские медиа переживают, что администрация Трампа пустит все эти усилия по ветру. Тревожные звоночки и правда есть. Например, инициатива сенатора Рэнда Пола по упразднению или весомому ограничению полномочий CISA.
И в США, и в мире, и в России, немало людей сочли это признаком грядущей деградации американских ИБ-программ. На самом деле это не так.
Важно помнить, что именно во время президентства Трампа CISA и появилась. Основные претензии со стороны республиканцев связаны с тем, что агентство активно ввязалось в цензурирование юэсэй-нета, включая и выборы.
Поэтому не стоит ожидать, что новая администрация президента выбросит CISA на свалку истории. Скорее всего, деятельность агентства будет:
1) В большей степени направлена на защиту критической инфраструктуры, а не на работу с повесткой в стране.
2) Подвержена контролю со стороны Сената. С одной стороны — меньше самостоятельности, с другой — меньше распыления.
Наивно полагать, что отдельным сенаторам-популистам дадут развалить важное в современных реалиях агентство. Еще более наивно думать, что государство позволит бизнесу диктовать условия и выбивать поблажки в сфере ИБ там, где это напрямую касается широких масс населения.
@cybersachok
VK анонсировали свою конференцию по информационной безопасности VK Security Confab Max. Пройдет она в самый жаркий месяц года — 11 декабря.
Судя по анонсу, на мероприятии в приоритет поставили 5 основных направлений: SOC, AppSec, безопасность пользователей, облаков и инфраструктуры.
Помимо технических докладов обещают закатить афтепати.
Сейчас еще есть время для подачи заявок экспертов (до 29 ноября), желающих выступить со своим спичем на конференции.
Ну а если 11 декабря вы суперзагружены, то можно будет посмотреть конференцию в онлайн-трансляции.
@cybersachok
Как сделать работу в контейнерных средах безопасной?
Узнайте на бесплатном вебинаре «Защита контейнерных сред с помощью Policy Engine и Service Mesh» от СберТеха.
Обсудим риски работы в контейнерных средах и вклад Policy Engine и Service Mesh в обеспечение безопасности кластеров Kubernetes (на примере open source решений и линейки российских продуктов Platform V Synapse от СберТеха).
Разберем темы:
• Контейнерные среды в рантайме: защита на уровне реестра, оркестратора и контейнеров.
• Policy Engine и его роль в управлении политиками безопасности и конфигурациями.
• Знакомство с Kubelatte и возможностями по мутации, валидации и генерации объектов Kubernetes.
• Service Mesh для безопасности трафика, включая шифрование, контроль конфигураций приложений и кластеров, мониторинг состояния кластеров.
• Преимущества решений Platform V Synapse по сравнению с open source.
Спикер: Максим Чудновский, главный руководитель направления Platform V Synapse, СберТех.
Вебинар пройдет 19 ноября в 11:00.
Регистрируйтесь по ссылке!
Рейтинг защищенности от ФСТЭК: кого ждет «черная метка»?
Федеральная служба по техническому и экспортному контролю планирует вести рейтинг объектов критической информационной инфраструктуры по уровню информационной безопасности.
По словам замдиректора ФСТЭК Виталия Лютикова, рейтинг будет составляться на основе коэффициента, который присваивается компаниям по результатам государственного контроля или данных о компьютерных инцидентах.
Служба планирует автоматизировать этот процесс и предоставить руководителям возможность видеть свою текущую оценку в реальном времени.
Примечательно, что ФСТЭК уже провела тестовый анализ ста объектов КИИ, из которых девяносто попали в красную зону. По итогу им было направлено аж 170 рекомендаций по исправлению.
Правда, никакой ответственности для организаций, которые продемонстрируют низкий уровень защищенности, не предусмотрено. Получается что «черную метку» уже придумали, но последствия для объектов КИИ она пока что не несет.
Ключевое тут — пока что.
@cybersachok
Apple дали жару: новое обновление мешает цифровым криминалистам
Западные правоохранители бьют тревогу — iPhone, которые содержались как вещ-доки, перезагружаются сами собой. Это приводит к тому, что данные из них становится достать куда сложнее.
Apple пока официально ничего не подтвердила, но в качестве вероятной причины называют незадекларированную фичу в обновлении 18.1, которая перезагружает устройство в случае длительного простоя.
Приведем цитату экспертов GrapheneOS для BleepingComputer:
При разблокировке iPhone с помощью PIN-кода или биометрических данных, таких как Face ID, операционная система загружает ключи шифрования в память. После этого при необходимости доступа к файлу он будет автоматически расшифрован с помощью этих ключей шифрования.
Однако после перезагрузки iPhone переходит в состояние «покоя», в котором больше не хранит ключи шифрования в памяти. Таким образом, расшифровать данные невозможно, что делает их гораздо более устойчивыми к попыткам взлома.
Если правоохранительные органы или злоумышленники получат доступ к уже заблокированному устройству, они могут использовать уязвимости для обхода экрана блокировки. Поскольку ключи расшифровки по-прежнему загружены в память, они могут получить доступ ко всем данным телефона.
Перезагрузка устройства после простоя автоматически сотрёт ключи из памяти и предотвратит доступ правоохранительных органов или преступников к данным вашего телефона.
🔥 Это всё меняет!
Positive Technologies 20 ноября запустит PT NGFW. Станьте частью этого масштабного события!
🤟 Два года компания разрабатывала высокопроизводительный и надежный межсетевой экран нового поколения.
Команда прислушивалась к мнению клиентов и партнеров, открыто рассказывала про внутреннюю кухню разработки. Смело бралась за сложные инженерные задачи, уделяла внимание не только коду, но и аппаратной платформе.
В результате они создали совершенное устройство, которое запустят 20 ноября!
👀 На онлайн-запуске вы сможете окунуться в историю создания продукта, узнать, как он защищает от киберугроз, результаты тестирования и завершенных проектов, а также планы на будущее.
Регистрируйтесь на онлайн-запуск заранее в Telegram-боте.
Будем ждать каждого! 🤩
Просто напоминаю)))
Как там на Ленинградском проспекте? Фейерверки еще не слышно?
Подали заявление на регистрацию канала в РКН, так как живем по понятиям правового поля РФ. Ставим на 3 дня в закреп. Надеемся на понимание🙏
Читать полностью…
Кампания EmeraldWhale: 15 000 краденных учетных данных на левом хранилище
Исследователи из Sysdig опубликовали историю о том, как на их ханипот прилетел интересный вызов. В результате изучения они обнаружили общедоступное хранилище S3 с джентельменским набором из вредоносных программ и более чем терабайта информации, самая чувствительная из которой — более 15 000 учетных данных от частных репозиториев.
По словам экспертов, для сбора информации злоумышленники использовали автоматизированные инструменты, которые сканировали диапазоны IP-адресов в поисках доступных конфигурационных файлов Git, где могли содержаться аутентификационные токены.
Найденные таким способом токены использовались для выгрузки репозиториев с GitHub, GitLab и BitBucket, а затем злоумышленники искали в них дополнительные учетные данные.
Простор для дальнейшей монетизации у EmeraldWhale достаточно широкий: от прямой продажи учетных данных, до проведения фишинговых кампаний и спам-атак.
Часто ли подобные факапы случаются с киберпреступника? И да, и нет. Как правило, это дело случая — причиной поимки киберпреступника, даже опытного, может стать банально "отвалившийся" VPN.
Бывают и действительно анекдотические истории. Например, с пользователями стилеров, которые запускают ВПО на своих домашних машинах и их данные улетают в базу стилера.
А нам остается только наблюдать и верить, что после каждого лайка на этом посте очередной black hat зашифрует свой ПК вместо жертвы.
За последние два года в России и мире сформировалась новая реальность: компании до смехотворности запугивают хакерами. Конечно, иногда эти страшилки становятся реальностью, но забавно наблюдать, как какой-нибудь менеджер по продажам убеждает клиента купить очередной сканер под страхом взлома, когда у самого пароль от личной почты qwerty и отсутствует 2FA.
Из топа страшилок: атака на цепочки поставок по типу SolarWinds, эхо которой до сих пор доносится до слуха ИБ-сообщества и руководства компаний.
Или вот еще: хакеры взломают систему дистанционного управления системами, например, системой очистки воды в каком-то городе и отравят все население, повысив дистанционно уровень химического вещества.
Ну и самая популярная страшная сказка для взрослых: хакеры зашифруют все данные в вашей компании и будут требовать выкуп за дешифровку, а весь ваш многочисленный документооборот перейдет в бумагу, откатив вас на 30 лет назад.
Сегодня вышел хеллоуинский подкаст, где ИБ-спецы, как я понял, высмеивают этот мейнстримный тренд на запугивание бизнеса и навязывание порою чрезмерных мер безопасности под видом необходимых.
Разговор получился нетривиальный, местами смешной и на удивление открытый и честный.
Самое то, чтобы посмотреть, пока в Москве льют ноябрьские дожди.
@cybersachok