13118
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Регистрация в РКН есть.
🎃 Однажды темной ночью хакер проник в сеть компании и открыл дивный новый мир незнакомой инфраструктуры. Несколько недель он изучал сеть и искал узлы, на которых хранятся пароли и нужные ему данные, чтобы получить полный контроль над инфраструктурой.
Для перемещения по узлам он использовал те же средства, что и обычные пользователи (TeamViewer, SSH и RDP), — из-за этого стандартные средства защиты не уследили за его передвижениями. И после захвата доступа он зашифровал данные и потребовал выкуп у компании.
🤔 Хакер прыгал по узлам в сети несколько недель, но стандартные средства защиты это пропустили. Какой выход?
Необходим механизм, который сможет гибко адаптироваться под инфраструктуру конкретной компании и выявлять аномальные всплески только там, где они действительно есть. В Positive Technologies нашли такие механизмы поиска аномалий.
Хотите узнать? 14 декабря в 15:00 приходите на онлайн-запуск PT Network Attack Discovery 12 (а еще вас ждет снегопад подарков).
Регистрируйтесь, чтобы принять участие
Новости импортозамещения. В России выпустили ПАК на процессорах Baikal-S и Baikal-M.
Состав у него следующий:
Сервер с платой на процессорах Baikal-S(быстрая система хранения данных) и Baikal -M(медленное/холодное хранение данных). Baikal-M может быть в совокупности с Intel для ускорения работы.
В качестве ПО — «Ивановна» от компании «Умный архив».
Потенциальный рынок оценивают в сотни устройств.
Пишут, что российский ПАК обеспечивает сохранность данных, создает несколько копий файлов на разных системах и носителях и синхронизирует данные между системами хранения.
@cybersachok
Слава богу, что мы живем в России, а не в Америке, потому что новая связка уязвимостей(больше 10) под общим названием 5Ghoul угрожает смартфонам на Android и iOS с поддержкой 5G.
Это тот самый случай, когда заторможенное развитие технологий ограждает от новых рисков. Радоваться этому — сомнительное удовольствие, но что взять с нас, живущих в эпоху перемен, исторических событий и смены парадигм.
Самая интересная уязвимость из выявленных 14-и — CVE-2023-33042. Она дает возможность в пределах радиосигнала сделать даунгрейд 5G или, используя фрейм Radio Resource Control, провести DoS-атаку.
Набор 5Ghoul может использоваться для разрыва соединений, зависаниям и даунгрейду с 4G и 5G. В совокупности таким атакам подверженны 714 моделей смартфонов, в том числе Xiaomi, Vivo, Realme, OnePlus, Huawei, Oppo.
В случае с 5Ghoul основная задача атакующего устройство — заставить смартфон обманом подключиться к вредоносной базовой станции.
@cybersachok
Когда уязвимость уже эксплуатируется, а я еще не установил обновление с патчами
Читать полностью…
Ушёл из жизни Владимир Рубанов, бывший начальник аналитического управления КГБ на закате Советского Союза и бывший заместитель секретаря Совета безопасности России в середине 1990-х годов. Стоял у истоков политики обеспечения информационной безопасности. Я не был с ним знаком, но очень хотел пообщаться. В 1990-х годах он участвовал в первых российско-американских контактах по вопросам выработки правил для киберпространства (что тогда было весьма фантастическим). Об этом процессе известно очень мало, например, краткий комментарий самого Рубанова есть в материале TIME пятилетней давности. Об этом и о других событиях той поры я расспросил бы его, но, к сожалению, уже не получится.
В 2016 году Владимир Рубанов дал резонансное интервью «Огоньку», вышедшее под заголовком: «Пропагандой выиграть нельзя. Доминированием в технологиях — можно». А в этом году подписал письмо членов Совета по внешней и оборонной политики с осуждением призывов применить ядерное оружие.
Новая уязвимость позволяет подключаться к устройствам iOS, Android, Linux, MacOS без аутентификации. После подключения появляется возможность выполнения произвольных команд с имитацией клавиатурного ввода с помощью скриптов.
Уязвимость обнаружил специалист по реверс-инжинирингу Марк Ньюлин(SkySafe). Это тот самый спец, который в 2016 году выявил атаку MouseJack.
Благодаря новому исследованиям стало известно, что устройство с включенным Bluetooth можно заставить без ведома пользователя взаимодействовать с клавиатурой.
Причем, атака совсем простая в реализации. Ее можно провести с Linux-машины и Bluetooth-адаптером.
Далее злоумышленник может выполнять любые действия на устройстве через нажатие клавиш, если нет биометрической или парольной аутентификации.
@cybersachok
Регулятор: берет пример с американцев и требует делать отчет об инцидентах в течении 4-х дней
Я на следующий день:
Хакера, взломавшего «Гемотест» приговорили к 1,5 годам ограничения свободы.
В результате инцидента, произошедшего 3 мая 2022 года,произошел слив персональных данных и результатов анализов клиентов лаборатории.
Инцидент, по мнению Роскомнадзора, произошел из-за компрометации учетки сотрудника. Согласно приговору Мосгорсуда, хакер использовал скрипт для удвоенного управления серверов и загрузил его через учетку администрирования сервера корпоративного телевидения. Кто дал хакеру доступ к учетке, до сих пор неизвестно.
Ну, впрочем, говорят, что если бы обвиняемый, Алекперов Фуад Маариф оглы не признал вину и не согласился бы на особый порядок рассмотрения дела, то обвинительного приговора могло и не быть.
@cybersachok
IT-конференция в Латвии отменена из-за фейковых докладчиц – комментарии айтишниц
В Латвии было запланировано проведение IT-конференции, но она была отменена из-за того, что некоторые из заявившихся докладчиц оказались фейковыми. Организаторы конференции приняли решение отменить мероприятие из-за безопасности участников. Кроме того, они решили провести расследование для определения ответственных за эту ситуацию. В свою очередь, айтишницы, которые принимали участие в проведении конференции, заявили, что такие ситуации должны быть исключены в будущем.
1% или 100%?
Okta заявила, что хакеры украли данные всех пользователей службы поддержки клиентов. Также украдены данные сотрудников Okta.
Ранее компания говорила, что пострадал только 1%. Причем о взломе ей сообщили сразу несколько ее клиентов, не наоборот.
25 лет назад, в год, когда в стране был дефолт, а в Казани все еще гуляли правила бандитских 90-х(слава богу, что это страшное время только в учебниках по истории и в сериалах на стриминговых платформах)родители решили, что пора продолжать род. Так, к концу 1998 года на свет появился я.
Самое лучшее поздравления для меня — знать, что читателям нравится канал, что он помогает отрасли кибербеза в России развиваться, посмотреть на себя со стороны, меняться к лучшему и поддерживает веру в светлое будущее.
Ну а если кто-то хочет поздравить и поблагодарить отдельно , то номер карты Сбера ниже😂2202203214807572
Ну а оставшееся оборудование CISCO в России — это, конечно. другое, поэтому если компания помогает Украине, это совсем не значит, что нам она будет пытаться навредить, так?
Читать полностью…
По просьбе наших дорогих радиослушателей ставим композицию I Will survive для сотрудников Росавиации. Желаем, чтобы настроение в этот выходной день было на подъеме, а на лице сияла улыбка.
Читать полностью…
В столице завершилась крупнейшая кибербитва Standoff 12, которая проходила в рамках Moscow Hacking Week.
В виртуальном Государстве F команды атакующих смогли устроить аварию на железной дороге и даже перехватить сигнал спутника. И это только малая часть того, что им удалось реализовать. А команды защитников смогли расследовать десятки успешных атак и обнаружить сотни инцидентов в шести отраслевых сегментах.
По итогам кибербитвы команда Codeby Pentest — одна из сильнейших red team в СНГ — стала пятикратным победителем Standoff и получила чемпионский кубок. Вместе с другими семью командами, которые вошли в золотую лигу кибербитвы, они разделят денежный приз — более 1 млн рублей. Больше подробностей — в другом посте.
Moscow Hacking Week продолжается: сегодня эксперты топовых компаний, участники битвы Standoff и профессиональные багхантеры поделятся своим опытом на втором дне митапа Standoff Talks.
Смотрите крутейшие выступления онлайн на сайте Moscow Hacking Week!
Реклама. АО "ПОЗИТИВ ТЕКНОЛОДЖИЗ". ИНН 7718668887
Киберзащитники .ru: ИБ-мероприятие года
2023 год был меганасыщенным на различные мероприятия. И главное, что помимо всем известных форумов и конференций появлялись новые мероприятия, в новых регионах, с новыми организаторами, что позволяло шире охватить все ниши, проблемы и темы отрасли, сегментировав существующие проблемы и целевые аудитории русского кибербеза.
Итак, список номинантов:
1. Positive Hack days
2. SOC-форум
3. Мероприятие компании «Гарда» — «Защита данных: сохранить все»
4. RUSCADASEC CONF
5. Сахалин Security
6. Киберриторика
7. GIS days
8. Positive Security days.
Голосуйте сердцем в опросе ниже:
Ставлю песню для моего старшего прапорщика роты времен срочной службы. А.Л. Врагу не сдается наш гордый варяг.
Читать полностью…
Цифровизация в стиле Мюнхена. Там парень получил уведомление о подозрительном входе с его устройства от банка спустя месяц. В бумажном виде по почте.
@cybersachok
В вечер пятницы хочется забыть про уязвимости, вирусы, атаки и защиту от киберугроз. Пицца, белое сухое, «Игра Престолов» и близкие рядом.
Читать полностью…
Один из самых необычных рекордов в мире ИБ — 30 000 устраненных уязвимостей в опенсорсных репозиториях за 3 дня. Работали над этим 600 разработчиков со всего мира в рамках мероприятиях reinvent21.
А вот МТС RED ART провела исследование более 4,7 млн уникальных публичных репозиториев программного кода и пришла к интересным выводам.
7820 репозиториев оказались с битыми ссылками, репозиториев там нет, а около 1000 аккаунтов и вовсе свободны для перерегистрации, то есть любой злоумышленник может зарегистрировать на себя один из этих свободных аккаунтов и создать там репозиторий с вредоносным кодом.
В наш век, когда никто не пишет код, от начала до конца выполняющий все функции, а используют библиотеки или программные пакеты с необходимым функционалом, такая ситуация с битыми ссылками на репозитории во внешних источниках, чревата тем, что атак по типу реподжекинга может стать в сотни раз больше.
В общем, вполне серьезная угроза.
Так вот MTC RED ART помимо исследования репозиториев разработали инструкцию как проверить свой код с помощью несложных команд на содержание таких вот битых ссылок, возможно, скрывающих вредоносный код.
Я всегда всем говорю о том, что параллельно с отраслью кибербезопасности развивается, спрятанная под тенью крупных ИБ-корпораций серая отрасль киберпреступности: вредонос как услуга, продажа данных, взломы на заказ, свои хакерские конгломераты, свои брэнды и даже своя особая деловая коммуникация.
В частности, интерес у меня в последние месяцы вызывают
особенности общения жертв Ransomware-атак и самих злоумышленников, которые ведут «деловые» переговоры о выкупе за «не слив данных в открытый доступ и расшифровку данных компании».
В мае появился сайт, на котором собраны диалоги вымогателей со своими жертвами.
Теперь стало еще интереснее. Энтузиаст взял все эти переписки по теме торгов хакеров и жертв и обучил на них чатбота на основе ChatGPT.
Теперь можно зайти в симулятор переговоров с вымогателями RansomChatGPT и потренироваться в ведении диалога. Ну и для развлечения в суровый зимний вечер тоже можно использовать.
@cybersachok
О нетривиальной уязвимости в iOS 17 рассказали в «Яндексе».
В новом обновлении владельцы айфонов могут установить так называемый «постер» на любой контакт из своего списка.
Чтобы понять, почему эта уязвимость может быть потенциально опасной, нужно знать пару нюансов: 1) то, как работают определители номеров(к примеру, от того же «Яндекса») 2) небольшое понимание психологии человека, отвечающего на звонок на смартфоне.
Представьте ситуацию, когда вам звонит очередной незнакомый номер и определитель помечает его как «мошенники». Это сработает, если номер уже есть в базе мошеннических номеров. Но если номер новый, то его не будет в базе определителя, и тут в дело включается новая фича от Apple.
В iOS 17 пользователь может сам написать текст и добавить фото к номеру, с которого совершается звонок. И именно этот текст будет высвечиваться у пользователей айфонов с обновлением.
Так, мошенники могут добавить к номеру текст «Важный звонок из банка» или «Срочный звонок из ФНС».
И наивный пользователь скорее всего возьмет трубку, а далее в дело вступает социальная инженерия.
Как вариант Apple могут разрешить функцию «поделиться постером контакта» только если контакт владельца номера уже есть в телефонной книге другого абонента.
@cybersachok
Каково это быть чуваком, которого будут звать «коровьим хакером» или «коровьим пентестером»? 🐄
Но вообще странно. Они пишут, что они первые провели анализ IoT-протокола в сенсорах, висящих на коровах. Но я про это рассказывал (а про что я еще не рассказывал и не писал?) еще в году 2010-м или около того, опираясь на известные уже тогда исследования по взлому датчиков, отслеживающих местоположение и «здоровье» коров 🐄
Угнать стадо коров, подменив геолокацию, это вам не шутки. В Техасе за такое и грохнуть могут 🤠
Хороший пример того, как кибербез проникает в массы и становится фольклором
Читать полностью…
Американское Агенство по кибербезопасности CISA выпустило чеклист с советами и рекомендациями по действиям после ransomware-атаки в рамках проекта StopRansomware.
@cybersachok
Многострадальной Росавиации снова приходится вместо отдыха в воскресенье защищать свою честь и давать комментарии.
Ведомство, которое в начале 2022 года подверглось взлому и потере огромного количества данных(и даже временно перешло на бумажный документооборот, пытаясь восстановить данные, не имевшие бэкапов), снова в номинантах потенциальных жертв хакерской атаки.
Управление разведки Минобороны Украины заявило о проведение кибероперации против Росавиации, в результате которой были украдены данные ведомств. Доказательства уже выкладывают.
Летом этого года всплыла информация, что взлом Росавиа в 2022 году осуществила сотрудница ведомства, имевшая двойное гражданство (РФ и Украина) и загрузившая вредоносную программу прямо на рабочем месте.
Поэтому сейчас не ясно, о новой атаке идет речь в заявлении Украинской разведки или все еще о той самой.
@cybersachok
3 способов создания полностью невидимого криптомайнера в облачных средах показали эксперты из SafeBreach.
Экспериментальный криптоммйнер для Microsoft Azure может быть полностью необнаруживаемым.
1 способ:
В калькуляторе стоимости Azure был найден баг, позволяющий параллельно запускать неограниченное количество задач бесплатно с оговоркой на локальную среду,п принадлежащую злоумшыленнику.
2 способ:
Если в пробном режиме запустить задачу майнинга и присвоить ему статус failed, то можно сразу же реализовать ее один такой же запуск и воспользоваться тем, что в каждый отрезок времени может быть запущен только один пробник. По итогу запуск нужного кода будет спрятан в среде Azure.
3 способ:
Здесь нужна штатная функция, дающая возможность загружать с помощью Azure Automation произвольные пакеты Python. Если создать вредоносный пакет с названием pip и добавить его в Automation, легитимный пакет pip перезаписывался вредоносным вариантом. После служба будет использовать его во время каждой подгрузки новых пакетов.
В общем, зная плановое поведение системы, злоумышленник может использовать свободные мощности для генерации крипты бесплатно и оставаться невидимым.
О, дивный новый мир!
@cybersachok
Да что вы знаете о слежке?
Мать 17 летней девочки попросила дядю ветеринара вшить ей чип, который вшивают животным, для отслеживания геолокации ребенка.
Так мать надеется найти дочку, если она не будет выходить на связь.
Хорошо, что нет функции удара током, если дочь поздно возвращается домой🗿
@cybersachok