13118
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Регистрация в РКН есть.
Баг в GitLab, потенциально угрожающий более 10 тысячам серверов в России, устранен в новом обновлении безопасности. CVE-2023-7028, о которой была речь в докладе НКЦКИ, получила 10 из 10 баллов по CVSS и позволяла захватить аккаунт без взаимодействия с пользователем.
По данным поисковой системы Netlas продукты GitLab на российских адресах насчитывают более 10 000 установок. Это третье место в мире.
Уязвимость, к слову, отлично вписывается в тренд последних лет: атака на цепочку поставок. Злоумышленник может встроить свои закладки в код, подключившись через уязвимость к платформе совместной разработки.
НКЦКИ предупреждает российских пользователей о том, что в связи с санкциями против России устанавливать патчи от вендора нужно только после «оценки всех сопутствующих рисков».
Поэтому для тех, кто не будет торопиться с установкой обновления, рекомендуем включить двухфакторную аутентификацию.
Поскольку уязвимость связана с аутентификацией и дает возможность злоумышленнику отправлять запрос на сброс пароля на рандомную почту(например ту, которую он захочет добавить как резервную), двухфакторная аутентификация сможет спасти.
@cybersachok
Решил маме на выходных объяснить, как на жизни отражаются утечки данных и показал, что находится в открытых базах данных после массовых сливов.
Теперь маме мало пустырника, пошла пить игристое. А я остался без борща.
И это я особо не прилагал усилий, чтобы искать данные и информацию.
Вообще, надо бы на ОБЖ в школах и университетах ввести такую тему, как инструментарий для проверки известной о вас информации в открытом доступе, базовые навыки OSINT и способы для очистки своего цифрового следа.
Так очевидно, но никто до сих пор не ввел. Эй, чиновники, вам там как живется в своих министерствах, пока вы занимаетесь какой-то оторванной от реальности и не приносящий реальной пользы хуетой?
Хотелось, конечно, выйти из новогодней спячки во вторник, но тут есть повод сделать это раньше.
Sachok впервые попал в ежегодный список топовых ИБ-каналов.
Не знаю, кто так хочет нам насолить. Но кто-то накрутил просмотры и реакции на пост об итогах года. Хотя пост вышел полчаса назад. Кто затаил обиду? Признавайтесь. Одна моя знакомая, которая на волне тренда астрологии(признана РАН лженаукой), начала давать прогнозы, сказала, что год дракона будет годом кармы.
Читать полностью…
Время оглашать итоги голосования, господа. Это было самое скандальное голосование по итогам года в ИБ-отрасли на моей памяти. Под финал все завершилось как плей-офф КХЛ ну или обычное зеленое дерби между татарским Ак Барсом и башкирским Салаватом Юлаевым, только цвет был красный🟥.
Тройки победителей, набравших больше всего голосов в номинациях:
«ИБ-телеграм канал года»
1 место — Пост Лукацкого
2 место — Secator
3 место — Security Lab
«ИБ-мероприятие года»
1 место — SOC форум
2 место — Positive Hack days
3 место — Positive Security days
«ИБ-проект года»
1 место — MTC RED ASOC
2 место — Positive Technologies NGFW
3 место — онлайн киберполигон Standoff 365
«ИБ-компания года»
1 место — MTC RED
2 место — Positive Technologies
3 место — Солар.
@cybersachok
Багхантеры, разминаем пальцы. Яндекс запустил новую движуху – до 31 января продлится конкурс по поиску XSS-уязвимостей в продуктах и сервисах компании. Награда за уязвимость, которая может привести к раскрытию чувствительных данных – до 500 000 рублей 🤑
✅Разрешается: максимально задействовать фантазию и комбинировать баги для повышения критичности уязвимости.
❌Не разрешается: использовать чужие аккаунты для поиска ошибок и тестировать потенциальные уязвимости на реальных пользователях.
К слову, пишут, что обходить CSP (Content Security Policy) не обязательно. Но в некоторых случаях награду могут уменьшить, если XSS требует клик и блокируется CSP.
Детали конкурса 👉 https://yandex.ru/bugbounty/i/xss-challenge
Бывшая Group-IB без сертификатов
По данным «Ведомостей», у нескольких продуктов компании сейчас нет сертификатов. И есть вероятность, что их не вернут, так как что-то нечисто с ними.
Говорят, что в продуктах нынешней FACCT может таиться угроза для объектов КИИ.
Сразу после вчерашней молнии о попадании Bi.ZONE, Информзащиты и других компаний в список санкци ЕС, спросили нашего эксперта Никиту о последствиях и перспективах для компаний.
Никита, главный алкоголик в российской ИБ-отрасли, управляется на ручнике, завсегдатай московских и Питерских баров:
«Учитывая то, какой рост показывает Positive Technologies в последние годы после попадания в санкционный лист США, можно смело поздравить новых подсанкционников с этапом бурного развития и молниеносного роста выручки и прибыли. Попасть в список санкций на сегодня — это подтвердить свою надежность без сертификации от соответствующих органов для отечественной кибербезопасности. Ну а на вашем месте я бы ввел запрет на чтение канала для ЕС за косвенное вмешательство в голосование по итогам года в ИБ».
Мы продолжаем следить за тем, как российская отрасль переживает этот «удар», держим руку на пульсе и ждем новых комментариев от наших лучших экспертов.
Всего хорошего.
⚡️Bi.ZONE попала в список санкций ЕС 🇪🇺
UPD: также под санкциями теперь «Информзащита»(почти сразу после недавней смены владельца)
Продажи, покупки, смены владельцев, новые ниши, конкуренция.
Читать полностью…
Не спешите кидаться в меня камнями и отписываться, потому что сегодня я рекомендую фильм от Netflix «Оставить мир позади».
Да, в нем есть пресловутые западные ценности, да, есть конфликт черных и белых, есть идеи феминизма и толерантности, но это все современный левый дискурс, который не отменяет того факта, что фильм потрясающий.
«Оставить мир позади» — полнометражная картина от режиссера сериала «Мистер Робот», показывающая мир во время глобального блэкаута после кибератаки.
Отключение интернета, сбои техники, сломавшийся уже привычный образ жизни современного прогрессивного человека вследствие потери доступа ко всему — все страхи человека эпохи цифрового капитализма здесь вывернуты наружу.
Но самый главный страх глобального блэкаута, на мой взгляд, это когда ты понимаешь, что не знал тех, с кем ты дружишь, живешь, кого любишь.
И вот интернета нет, новости не узнать, вы в загородном доме, в глуши, по всей стране кибератаки и катастрофы, а ВЫ вдруг понимаете, что вам не о чем поговорить и человека, которого вы считали самый близким, ВЫ совсем не знаете.
Пустота, мрак, экзистенс. А все почему? Потому что кто-то забивал в свое время на киберзащиту, создав предпосылки для того времени, когда нам снова придется общаться друг с другом(О неееет!).
Надеюсь, что это не разогрев общественности от Нетфликса перед реальным блэкаутом.
@cybersachok
К слову, буквально вчера в Госдуму внесли законопроект, легализующий деятельность «белых» хакеров, они же багхантеры, пентестеры и white hat.
На данный момент закон не успел пройти ни одного чтения в парламенте, тем не менее движения в сторону регулирования этого важного для кибербезопасности страны направления уже есть.
Дискуссии о легализации деятельности пентеста идут уже давно, но особо высокий градус обсуждений по теме закономерно появился в последние два года в связи с участившимися киберугрозами и реальной, ощутимой опасностью для вполне физических объектов в стране.
Эфемерная угроза из киберпространства, на мой взгляд, стала особо ощутимой после утечки Яндекс.еды, попавших после нее в открытый доступ адресов заказов, сумм заказов и приступов ревности у жен сильных мира сего.
«Мы типа живем на Красной Пресне, а ты в прошлую пятницу, когда поехал на внеплановое совещание, заказывал доставку из ресторана в 23:20 на N сумму в квартиру в Козихинском переулке».
В общем, проблема стала ощутима для лиц, принимающих решения, а чтобы уязвимостей, через которые осуществляется взлом, было меньше и они вовремя устранялись, нужно, чтобы их могли легально искать.
Не в стиле «внеплановой» проверки, когда по-братски предупредили и подготовились и «нарушений не выявили», а по-настоящему.
Так победим.
@cybersachok
А русские хакеры, похоже, взломали сферу в Лас Вегасе и анонсируют прямую линию с Путиным 14 декабря. Ну или как всегда работает принцип «просто бизнес, ничего личного».
Читать полностью…
Потратился на праздниках? Самое время начать багхантить на Standoff 365 Bug Bounty!
🔜 Тем более часики-то тикают, и скоро некоторые программы завершатся. Но если начать исследовать прямо сейчас, есть все шансы получить максимальное баунти.
Успей найти уязвимости по программам до 29 января:
PT Network Attack Discovery (вознаграждение до 1 000 000 ₽)
PT Sandbox (до 1 000 000 ₽)
PT Cloud Application Firewall (до 500 000 ₽, программа действует до 20 января)
А также в рамках багбаунти-программы Ростовской области, которая действует до 13 февраля.
Типичный разговор сотрудников Positive Technologies и Лаборатории Касперского в кулуарах форумов
Читать полностью…
Спасибо за понимание, коллеги! Сейчас нам всем поддержки и понимания не хватает.
/channel/true_secator/5260
В ИБ-отрасли своя культура отмены? Как Ивлеева и Ко извиняться не будем. Сами не ожидали таких результатов, дядь Леш. Вот он самый настоящий «Черный лебедь», локальный.
/channel/alukatsky/9636
Ну и отдельно от редакции канала хотим отметить несколько компаний.
Бастион — компания с интересным вектором в продуктах и перспективами на разработку конкурентных на международном рынке решений.
Innostage — ИБ-компания из Татарстана, которая в этом году запомнилась созданием первого межвузовского SOC, нестандартным подходом к решению важных проблем ИБ и упорством.
Qrator и продукт Qrator AntiDDoS — один из самых актуальных на сегодня игроков, спасающий российские компании от массовых атак.
Общество: у тебя не получится стать лучшим пентестером
Я, весь год попадающий в цели при поиске уязвимостей
ИБ-компания 2023
2023 был годом странным: с одной стороны то, что, как нам казалось в конце 2022 станет трендом в отрасли, сбылось: появились новые яркие игроки, российские вендоры заметно выросли и начали занимать освободившиеся ниши, деля рынок между собой. С другой стороны не обошлось и без «Черных Лебедей» в кибербезопасности, аномальных событий, имеющих большое воздействие на жизнь, а главное, не ожидаемых. Казалось бы, что их можно было предсказать, но на деле только в ретроспективе, в перспективе же предсказать их не получилось. Тем не менее, отрасль справилась. Ну а мы с радостью следили за всеми событиями в российском и мировом инфобезе и как Атлант, держащий на плечах весь небосвод, верили, что держим на своих плечах баланс в российском ИБ.
Номинанты на «ИБ-компанию 2023» могут шокировать и показаться неожиданными, но это не важно. Все не важно.
Итак:
1. Positive Technologies
2. MTS Red
3. Лаборатория Касперского
4. Bi.ZONE
5. Бастион
6. Гарда
7. Солар
8. Innostage
Голосование стартует в 13:00.
@cybersachok
Жизнь все чаще напоминает массовый сеанс цифрового вуайеризма, который происходит не по собственной воле. Увидеть чужие ягодицы в сторис или фото с капельницей в запрещенной социальной сети — это одно, совсем другое — это когда ты случайно получаешь доступ к чужой камере видеонаблюдения или роутеру.
На днях случилась как раз такая история: клиенты Ubiquti, крупного производителя сетевых устройств, зайдя на облачный портал UniFi, с помощью которого можно управлять всеми своими устройствами, могли увидеть подключенные камеры других людей.
Некоторые получали уведомление с чужих камер видеонаблюдения через UniFi Protect.
По итогу, конечно, причина выяснилась: неправильная конфигурация при обновлении облачной инфраструктуры UniFi.
Но осадок остался. Причем, расследование все еще идет, а владельцы аккаунтов, к чьим учеткам был доступ у других пользователей, до сих пор не знают об инциденте.
@cybersachok
В 11-ю статью европейского 🇪🇺 закона Cyber Resilience Act (CRA) хотят внести требование раскрытия вендорами госорганам в течении 24-х часов после начала использования в атаках непатченных уязвимостей.
ИБ-эксперты выступают против, считая, что государство будет использовать эти сведения для слежки или проведения разведки против неугодных.
Positive Technologies, которая уже несколько лет под санкциями США в этот момент:
Сюрпрайз
ИБ-проект 2023
2023 год — время, когда мы лучше узнали российские компании и ближе познакомились с их проектами. Российские вендоры показали, что такое импортозамещение на деле, а не только на словах, поэтому когда мы отбирали номинантов для подведения итогов, даже ощутили гордость за ИБ-отрасль.
Итак, номинанты:
1. Bi.Zone — платформа Bug bounty.
2. Positive Technologies — PT NGFW, первый российский межсетевой экран нового поколения.
3. MTC Red (Future crew) — премиальная защищенная связь Membrana.
4. Гарда — «Гарда маскирование», обезличивание баз данных для передачи их третьим лицам.
5. Лаборатория Касперского — регуляторный хаб.
6. Солар — Solar inRights, управление учетными записями и правами доступа к корпоративным ресурсам.
7. Qrator labs — Qrator.AntiDDoS облачное решение для защиты от DDoS-атак.
8. Positive Technologies — онлайн-киберполигон Standoff 365.
Голосование стартует в 12:00.
«Информзащита» продалась. Очень странная сделка. Но, как говорится «**й с ними». Продались и продались.
https://www.cnews.ru/news/top/2023-12-15_u_ib-kompanii_informzashchita
У «Бастиона» на Хабре вышел интересный текст о том, как обеспечивается безопасность ЦОДов в Москве, с какими основными угрозами приходится им сталкиваться(среди самых необычных и курьезных — это московские бездомные, которые любят греться от вентиляции зимой).
Читать полностью…
И снова про хакеров… на этот раз на прямой линии с президентом
Читать полностью…