Sachok

29 Mar 2024 21:41

Какова вероятность того, что за 11 лет существования под прикрытием уязвимости хакеры ей ни разу не воспользовались?

Уязвимость WallEscape та самая дыра, которая была вне поля зрения исследователей 11 лет. И только сейчас ее обнаружил Скайлер Ферранте. Он описал CVE-2024-28085 как «неправильную нейтрализацию последовательностей управления в команде wall».

Проблема, если кратко, касается команды wall в пакете util-linux(часть всех дистрибутивов Linux последние 11 лет). Устранили ее только в новой версии util-linux 2.40.

Она позволяет злоумышленнику убедить пользователя предоставить свой админ-пароль.

Ферранте показал PoC-код для демонстрации эксплуатации и описал сценарии, которые могут привести к нежелательным результатам.

Тем не менее для эксплуатации уязвимости требуются особые условия, что снижает ее критичность, но оставляет риск для серверов различных организаций.

@cybersachok

Sachok

28 Mar 2024 21:38

«Не читайте перед сном прогнозов по информационной безопасности»—, говорил один мой приятель. Но лучше читать перед сном прогнозы по ИБ, чем российские телеграм-каналы за обедом, тем более, что в прогнозе перечислены главные угрозы до 2030 года.

Отчет опубликовало Агенство по сетевой и информационной безопасности Евросоюза European Union Agency for Cybersecurity, ENISA).

Главными угрозами, по мнению ENISA, до 2030 года будут:

• кибератаки на участников цепочек поставок;
• дефицит квалифицированной рабочей силы;
• человеческие ошибки и устаревшие IT‑системы;
• использование устаревшего ПО в рамках перегруженной межотраслевой IT‑экосистемы;
• увеличение числа случаев применения цифровых устройств для слежки за людьми;
• уязвимость трансграничных поставщиков IT‑услуг;
• высокотехнологичные кампании по дезинформации;
• рост числа высокотехнологичных гибридных угроз;
• неправомерное использование ИИ‑технологий;
• повреждения критической инфраструктуры природного характера.

Интересно, что количество атак на цепочки поставок за последние годы снизилось, но в отчете агентства угроза стоит на первом месте. Связано это с расширением цепочек поставок.

@cybersachok

Sachok

27 Mar 2024 21:38

У хакеров своя деградация уровня квалификации. Некоторые киберпреступники диверсифицируют свой «бизнес», захватывая ниши продажи своих сервисов, как услуг.

Сейчас, например, продают кастомный софт для одноплатных компьютеров Raspberry Pi — GEOBOX, позволяющий превратить устройства в инструмент для кибератак даже если хакерскому искусству потенциальный злоумышленник учился по лайфхакам из низкокачественных телеграм-каналов с соответствующей аудиторией.

Пожизненную лицензию на GEOBOX можно купить за $700, либо довольствоваться ежемесячной подпиской за $80. В целом доступно и ничтожно мало по сравнению с потенциальной прибылью юных злоумышленников.

Функционал у софта серьезный и дает хорошие возможности для затруднения работы правоохранителей при расследовании киберпреступлений:

— GPS-спуфинг. Позволяет пользователям подделывать свою геолокацию и обходить системы безопасности, учитывающие местоположение.

— Маршрутизация трафика через прокси-серверы для обфусцирования местоположения атакующего.

— Эмулирование определённых настроек сети и точек доступа Wi-Fi. Пригодится, когда нужно замаскировать вредоносную активность под легитимный трафик.

— обход антифрод-систем для финансового мошенничества и кражи личных данных.

С таким софтом и развитием «отрасли» хакерских атак планка для входа в «профессию» снижается, а значит тренд на рост киберпреступлений в ближайшее время будет укрепляться.

@cybersachok

Sachok

26 Mar 2024 18:55

Я вас очень люблю 💔

Sachok

25 Mar 2024 10:48

Замки с RFID-ключами от швейцарской Dormakaba с легкостью выламываются с помощью подделанного мастер-ключа из двух карточек.

Группу уязвимостей, позволяющая осуществить атаку, под общим названием Unsaflok, раскрыли исследователи из США.

Для взлома нужен любой дубликатор с NFC(подойдет Android-смартфон или Flipper Zero).

Одна карта перезаписывает данные замка, а вторая открывает его.

@cybersachok

Sachok

23 Mar 2024 15:18

Мы так зациклились на угрозах в онлайн, что совсем забыли о том, что такое теракты с реальными жертвами.

Мы так зациклились на контроле в интернете, что совсем потеряли баланс между оффлайном и онлайн.

Мы слишком оторвались от реальности, решив, что она ограничилась угрозами в сети.

Думаю, что нужно срочно внедрять технологичные системы безопасности, интегрированные с оффлайн-средой. Что-то вроде системы распознавания лиц, которая помогает в метро ловить преступников. Что-то, что будет быстро распознавать людей с оружием и автоматически отправлять сигнал об опасности в какой-то оперативный центр. Что-то вроде автоматический системы блокирования концертных залов и кинотеатров на случай бойни.

Я много рефлексирую над вчерашним и думаю, как можно улучшить системы безопасности, чтобы быть готовыми, чтобы эффективнее защищать наше общество.

Определенно нужно что-то менять. Но не только в вопросах контроля, но и в вопросах установок в нашем обществе.

Sachok

21 Mar 2024 20:48

Обычная российская bug-bounty платформа набирает новых участников в 2024 году

Sachok

20 Mar 2024 20:57

19 млн паролей утекло из-за неправильно настроенных экземпляров Firebase, платформы Google для размещения баз данных, облачных вычислений и разработки приложений.

Исследователи проанализировали больше 5 млн доменов и обнаружили 916 сайтов, которые либо забили на правила безопасности, либо настроили Firebase с ошибками.

Как результат — 125 млн строк конфиденциальных данных, из них паролей — 19 млн.

Не обошлось без вечной человеческой безалаберности, которая конкретно в этой истории проявилась в отношении компаний к инструменту Firebase, его функционалу и пользовательским данным.

Ну вот наверняка нужно приложить огромные усилия, чтобы хранить пароли в виде открытого текста, учитывая тот факт, что у гугловского сервиса есть комплексное решение Firebase Authentication, предназначенное специально для безопасного входа в систему. Но администраторы сайтов, попавших под опалу исследователей, додумались создать в базе данных Firebase отдельное поле под названием «пароль», куда бережно положили данные в виде открытого текста.

Четверть администраторов из пострадавших компаний исправили неправильную конфигурацию, две компании выплатили исследователям вознаграждение за обнаруженную ошибку, а сеть азартных игр из Индонезии в ответ на предупреждение лишь отшутилась.

@cybersachok

Sachok

19 Mar 2024 21:28

Один из самых крупных в мире IT-поставщиков Fujitsu обнаружила в своих системах вредоносное ПО.

Инфраструктура отключена для проведения расследования и локализации последствий, данные из систем компании украдены. В утечке содержится информация клиентов.

Всем пострадавшим Fujitsu намерена отправить уведомления об инциденте.

В долгосрок, в зависимости от того, какие именно данные компании пострадали, можно ожидать новых атак на цепочку поставок ПО.

@cybersachok

Sachok

18 Mar 2024 18:46

Заинтриговал меня один из способов атаки, на который я наткнулся, прокрастинируя накануне — «акустическая атака», подразумевающий определение нажатия клавиш по шаблонам набора текста.

Спойлер: вероятность определения нажатия клавиш пользователя — 43%, а чтобы достичь хотя бы этих 43% — нужно сильно постараться.

Так чем же этот метод так зацепил исследователей из так тяжело гуглящегося и малоизвестного университета Огасты в штате Джорджия?

Для атаки используются характерные звуковые шаблоны стучания по клавиатуре, которые фиксируются специальным ПО, собирающим данные набора. Данные используют для обучения статистической модели, которая создает для жертвы подробный профиль индивидуальных шаблонов набора текста. Индивидуальность определяется за счет временных интервалов между нажатиями клавиш.

Плюс такого метода в том, что он применим для разных клавиатур, при любом стиле ввода текста и с некачественным микрофоном.

Сплошные минусы

1️⃣Чтобы записать ввод, нужны взломанные устройства со скрытым микрофоном рядом — умные колонки, смартфоны, ноутбуки и тд.

2️⃣Нужно несколько сеансов набора текста в различных условиях. Количество = успех атаки.

3️⃣У людей нет последовательной модели набора текста, что мешает обрабатывать данные

4️⃣Быстрая печать ломает систему

5️⃣Амплитуда создаваемого сигнала менее выражена на бесшумных клавиатурах.

Вывод: метод сработать только с предсказуемыми людьми и скорее всего с бабушками, которые медленно набирают текст в клавиатуре, публикуя в «одноклассниках» свои воспоминания о светлом пионерском прошлом и влюбленности в вожатого-комсомольца из московского педагогического.

@cybersachok

Sachok

16 Mar 2024 13:45

Я отправляю фишинговое письмо коллеге, который подкатывает к моей стажерке из Бауманки

Sachok

13 Mar 2024 11:29

Песню, ставшую саундтреком к франшизе про Бэтмэна, ставим для всех, чьи чувства просыпаются с первыми лучами холодной российской весны.

You remain my power, my pleasure, my pain
To me you’re like a grown addiction that I can’t deny

Sachok

12 Mar 2024 22:56

Региональный ИБ-форум в 2024 году. Картина нидерландского живописца Питера Брейгеля.

Sachok

12 Mar 2024 11:50

Специалисты по информационной безопасности тут? Вас уже ждут в Тинькофф!

Безопасность — часть нашего бизнеса, поэтому мы создаем продукты, следуя принципу Security by Design. Мы открыты и защищаем не только себя, но и партнеров. Наша команда болеет за безопасность, использует смелые решения и применяет нестандартные подходы. Если вы готовы добиваться результата с нами, ждем вас в команде!

Откликайтесь на вакансию, а компания не только обеспечит комфортные условия для работы, но и даст возможность воплотить свои идеи в больших ИТ-проектах:

erid:2Vtzqwgq579

Реклама. АО "Тинькофф Банк", ИНН 7710140679, лицензия ЦБ РФ № 2673

Sachok

11 Mar 2024 19:01

По Пелевину самый известный хакер не Кевин Митник, а Будда.

Sachok

29 Mar 2024 10:02

Что вы обычно читаете по теме информационной безопасности?

Ответьте, пожалуйста, на несколько вопросов ниже — это займет у вас не больше пяти минут.

Пройти анонимный опрос 👉 https://forms.gle/4pEDpxaWrpUeNZhS9

Sachok

28 Mar 2024 19:45

Мы с парнями на ковре у ФСТЭК объясняем, почему не верно поняли требования

Sachok

27 Mar 2024 09:58

Чтобы выпускать качественные продукты быстро и без уязвимостей, компании нужны разработчики, у которых есть все необходимые компетенции по информационной безопасности.

Команда Start X создала карту знаний и навыков по безопасной разработке для CISO, AppSec-инженеров, тимлидов и разработчиков. Она поможет:

- оценить уровень своих скиллов и определить собственный план развития;
- познакомиться с обязанностями разработчика в зависимости от опыта;
- составить вакансию для найма;
- определить зону ответственности разработчика в компании.

👉 Заполните короткую форму и получите карту знаний и навыков по безопасной разработке.

Реклама. Рекламодатель: ООО "АНТИФИШИНГ", ИНН: 6950191442. Erid: 2VtzqwWiC1b

Sachok

25 Mar 2024 11:05

Наконец-то? Все ближе к нормальному закреплению правовых границ по пентесту и ИБ-аудиту.

https://ria.ru/20240325/khaker-1935609669.html

Sachok

23 Mar 2024 15:26

Индийская кибергруппировка пообещала найти заказчиков теракта в «Крокус сити холе».

/channel/alukatsky/10206

Sachok

22 Mar 2024 21:04

Кадры из Крокуса как из фильма про Апокалипсис. Многокилометровые пробки, люди, бегущие по пешеходному мосту из концертного зала в чем удалось выбраться, огромное полыхающее здание и бесконечные звуки сирен скорой помощи и спецслужб.

Ужасная трагедия.

Спасибо всем врачам, медикам и спецслужбам, которые сегодня ночью не спят и участвуют в помощи пострадавшим и ликвидации последствий.

Sachok

21 Mar 2024 20:34

Запретим кирпичи, чтобы не падали на голову

Около месяца назад канадские власти заявили о намерении запретить устройства Flipper Zero, так как с их помощью «можно угонять автомобили».

Ответ от создателей «тамагочей для хакеров», которые к слову, на российских маркетплейсах стоят в районе 30 000, не заставил ждать.

«В социальных сетях можно найти множество видеороликов, в которых дети обещают “хакнуть Пентагон” с помощью Flipper Zero, чтобы набрать больше просмотров. Такой контент породил множество мифов и используется журналистами, которые не утруждают себя проверкой фактов. Неудивительно, что некоторые политики начали предлагать запреты, основанные на ложной информации», — негодуют в своем блоге создатели Flipper Zero по поводу идиотской инициативы канадских чиновников, которые без понимания технических нюансов угона автомобилей с помощью перехвата радиосигнала решают запретить столь полезные для ИБ-исследователей устройства.

Создатели «тамагочей» уверяют, что для угона современных автомобилей нужно совсем другое оборудование, нежели их детище, а вот старые машины можно взломать даже с помощью проволоки, которую запрещать никто из канадских чиновников не намерен.

Raspberry Pi, Android-смартфоны и наушники, позволяющие перехватить радиосигнал, также никто не запрещает.

А следовательно мера по запрету Flipper чересчур избирательна.

Для угона современных автомобилей преступники используют специальные ретрансляторы сигнала, стоимостью от 5 до $15 000. Подобные репитеры оснащены несколькими радиомодулями и имеют мощность в несколько ватт, в то время как Flipper Zero использует один радиомодуль с частотой до 1 ГГц с ограничением в 10 милливатт, чего недостаточно для угона с помощью перехвата радиосигнала с автомобильного брелка сквозь стены.

Подытоживая, создатели Flipper, пишут, что проблема «не в доступности радиооборудования, а в небезопасности устаревших систем контроля доступа».

@cybersachok

Sachok

20 Mar 2024 19:04

Минимализм и эргономичность за рабочим местом — смертный грех, за который я буду каяться перед божеством гиков

Sachok

18 Mar 2024 19:06

Юрист после пятой попытки разобраться в требованиях российских регуляторов по ИБ

Sachok

18 Mar 2024 15:33

Мичиганские исследователи представили способы идентификации сеансов на базе OpenVPN. Результаты показали в двух научных работах по теме VPN Fingerprint.

Первая научная работа.

Вторая научная работа.

Эксперты успешно протестировали три способа определения сеансов OpenVPN в сетях провайдера Merit, у которого более миллиона пользователей.

По итогам тестов 85% сеансов OpenVPN оказались уязвимыми для идентификации.

Для исследования создали анализатор, на который был отзеркалирован трафик интенсивностью 20Гбит/с. Инструментарий ученых сначала на лету в пассивном режиме определял трафик OpenVPN, а после делал фактчек через активную проверку сервера.

40 различных типовых конфигураций(на 39 метод сработал успешно), 1718 из 2000 определенных соединений и 3245 из 3638 подтвержеднных сеансов в транзитном трафике за 8 суток.

Из 41 протестированных экспертами коммерческих VPN-сервисов, используют OpenVPN трафик идентифицировали в 34 случаях.

В сервисах, в которых не удалось идентифицировать трафик помимо OpenVPN использовали дополнительные слои шифрования.

В общем, безумно интересно и поучительно для тех, у кого есть безусловное доверие VPN-сервисам.

@cybersachok

Sachok

15 Mar 2024 21:49

Российские компании увеличивают расходы на информационную безопасность.

За прошлый год более 50% компаний увеличили расходы на средства защиты информации в среднем на 20%.

Основные причины роста расходов — приобретение специализированного ПО и новых поставщиков и увеличение штата ИБ-специалистов. Больше всего тратятся на софт из сегмента роскоши компании, которые не продляют текущие лицензии, а полностью заменяют ИБ-сервисы.

В целом расклад следующий:

«Средний бюджет компаний на ИБ зависит от размера бизнеса, отрасли и состояния текущих ИБ-сервисов. В 2024 году объем инвестиций в ИБ у малого и среднего бизнеса может составить от $40 000 до $80 000, — сообщили в ДРТ. — У крупных компаний бюджет на ИБ может исчисляться в миллионах долларов, особенно в секторе IT и телеком».

Компании стали чаще использовать для защиты инфраструктуры искусственный интеллект. Технологии ИИ для повышения безопасности планируют внедрить 26% российских компаний.

«ИИ-алгоритмы чаще всего используют для решения двух задач: обнаружения аномалий в большом объеме данных и управления инцидентами. Автоматизация ИБ-процессов с помощью ИИ наиболее распространена в финансовом секторе — ее применяет 71% компаний».

@cybersachok

Sachok

13 Mar 2024 11:04

Странные дела, вызвавшие тревогу специалистов по ИБ, произошли с главной базой данных уязвимостей. На сайте NVD появился баннер, в котором сказано, что работа по сбору информации и публикации данных об CVE приостановлены. Такая же ситуация произошла с сайтом https://www.cve.org/ (принадлежит организации, получающей финансирование от Министертва внутренней безопасности США, CISA и MITRE).

База NVD принадлежит национальному институту стандартизации США NIST, который собирал информацию об CVE, проверял ее и классифицировал.

В России есть своя база данных уязвимостей от ФСТЭК, однако в ней часто присутствуют источники нумерации CVE и другие материалы NVD.

Где брать технические данные по уязвимостям ИБ-специалистам, привыкшим к такому, казалось, стабильному и привычному сервису, вопрос риторический.

Мб теперь крупные российские и мировые ИБ-компании задумаются о создании своих баз данных угроз.
@cybersachok

Sachok

12 Mar 2024 21:59

В США тем временем растет киберпаранойа по поводу китайской слежки через оборудование и сервисы.

Чиновники из Палаты представителей провели расследование, в рамках которого изучались подъемные краны в морских портах(80% используемых кранов в портах США китайские).

Такими кранами можно управлять удаленно, а это непременно, по мнению чиновников, означает, что китайские хакеры смогут собирать с помощью них разведданные или вызывать сбои.

Расследование Палаты представителей выявило в портовых кранах уязвимости, которые «могут помочь коммунистам подорвать работу конкурентов по торговле и нарушить цепочки поставок, разрушая экономику страны».

Какие только параноидальные идеи иногда выдают чиновники в разных странах, чтобы выбить новые дорожки к кормушкам бюджетов.

КиберАдмирал Джон Ванн сделал важную ремарку: вредоносного ПО в ходе проверки обнаружено не было.

@cybersachok

Sachok

11 Mar 2024 20:31

Американский кибербез почти обезглавили в минувшем феврале с помощью уязвимости в продуктах компании Ivanti, сообщают нам зарубежные источники.

В результате атаки Агенство по кибербезопасности и защите инфраструктуры США(CISA), крышующее всю ИБ-отрасль Америки, отключило две ключевые системы. Об этом в частности сообщил представитель Агентства и официальные лица, знакомые с инцидентом.

Взломали систему Gateway IP, которая нужна для обмена инструментами оценки безопасности и Chemical Security Assessment Tool(инструмент для оценки безопасности химических объектов и оценках уязвимости их безопасности).

В последнем, к слову, хранится приватная информация о критически важных объектах промышленности.

Удалось ли хакерам украсть приватную информацию Американского ИБ-министерства, не уточняется.

Но вот, как пишут в своей версии коллеги из Secator, CISA начала предупреждать об угрозах с дырами Ivanti после того, как обнаружила подозрительную активность в своих системах.

@cybersachok

Sachok

11 Mar 2024 06:52

Когда ты белый хакер пентестер, но твоя субличность хочет взламывать всё и вся, получая нелегальный доход