Sachok

21 Mar 2024 20:48

Обычная российская bug-bounty платформа набирает новых участников в 2024 году

Sachok

20 Mar 2024 20:57

19 млн паролей утекло из-за неправильно настроенных экземпляров Firebase, платформы Google для размещения баз данных, облачных вычислений и разработки приложений.

Исследователи проанализировали больше 5 млн доменов и обнаружили 916 сайтов, которые либо забили на правила безопасности, либо настроили Firebase с ошибками.

Как результат — 125 млн строк конфиденциальных данных, из них паролей — 19 млн.

Не обошлось без вечной человеческой безалаберности, которая конкретно в этой истории проявилась в отношении компаний к инструменту Firebase, его функционалу и пользовательским данным.

Ну вот наверняка нужно приложить огромные усилия, чтобы хранить пароли в виде открытого текста, учитывая тот факт, что у гугловского сервиса есть комплексное решение Firebase Authentication, предназначенное специально для безопасного входа в систему. Но администраторы сайтов, попавших под опалу исследователей, додумались создать в базе данных Firebase отдельное поле под названием «пароль», куда бережно положили данные в виде открытого текста.

Четверть администраторов из пострадавших компаний исправили неправильную конфигурацию, две компании выплатили исследователям вознаграждение за обнаруженную ошибку, а сеть азартных игр из Индонезии в ответ на предупреждение лишь отшутилась.

@cybersachok

Sachok

19 Mar 2024 21:28

Один из самых крупных в мире IT-поставщиков Fujitsu обнаружила в своих системах вредоносное ПО.

Инфраструктура отключена для проведения расследования и локализации последствий, данные из систем компании украдены. В утечке содержится информация клиентов.

Всем пострадавшим Fujitsu намерена отправить уведомления об инциденте.

В долгосрок, в зависимости от того, какие именно данные компании пострадали, можно ожидать новых атак на цепочку поставок ПО.

@cybersachok

Sachok

18 Mar 2024 18:46

Заинтриговал меня один из способов атаки, на который я наткнулся, прокрастинируя накануне — «акустическая атака», подразумевающий определение нажатия клавиш по шаблонам набора текста.

Спойлер: вероятность определения нажатия клавиш пользователя — 43%, а чтобы достичь хотя бы этих 43% — нужно сильно постараться.

Так чем же этот метод так зацепил исследователей из так тяжело гуглящегося и малоизвестного университета Огасты в штате Джорджия?

Для атаки используются характерные звуковые шаблоны стучания по клавиатуре, которые фиксируются специальным ПО, собирающим данные набора. Данные используют для обучения статистической модели, которая создает для жертвы подробный профиль индивидуальных шаблонов набора текста. Индивидуальность определяется за счет временных интервалов между нажатиями клавиш.

Плюс такого метода в том, что он применим для разных клавиатур, при любом стиле ввода текста и с некачественным микрофоном.

Сплошные минусы

1️⃣Чтобы записать ввод, нужны взломанные устройства со скрытым микрофоном рядом — умные колонки, смартфоны, ноутбуки и тд.

2️⃣Нужно несколько сеансов набора текста в различных условиях. Количество = успех атаки.

3️⃣У людей нет последовательной модели набора текста, что мешает обрабатывать данные

4️⃣Быстрая печать ломает систему

5️⃣Амплитуда создаваемого сигнала менее выражена на бесшумных клавиатурах.

Вывод: метод сработать только с предсказуемыми людьми и скорее всего с бабушками, которые медленно набирают текст в клавиатуре, публикуя в «одноклассниках» свои воспоминания о светлом пионерском прошлом и влюбленности в вожатого-комсомольца из московского педагогического.

@cybersachok

Sachok

16 Mar 2024 13:45

Я отправляю фишинговое письмо коллеге, который подкатывает к моей стажерке из Бауманки

Sachok

13 Mar 2024 11:29

Песню, ставшую саундтреком к франшизе про Бэтмэна, ставим для всех, чьи чувства просыпаются с первыми лучами холодной российской весны.

You remain my power, my pleasure, my pain
To me you’re like a grown addiction that I can’t deny

Sachok

12 Mar 2024 22:56

Региональный ИБ-форум в 2024 году. Картина нидерландского живописца Питера Брейгеля.

Sachok

12 Mar 2024 11:50

Специалисты по информационной безопасности тут? Вас уже ждут в Тинькофф!

Безопасность — часть нашего бизнеса, поэтому мы создаем продукты, следуя принципу Security by Design. Мы открыты и защищаем не только себя, но и партнеров. Наша команда болеет за безопасность, использует смелые решения и применяет нестандартные подходы. Если вы готовы добиваться результата с нами, ждем вас в команде!

Откликайтесь на вакансию, а компания не только обеспечит комфортные условия для работы, но и даст возможность воплотить свои идеи в больших ИТ-проектах:

erid:2Vtzqwgq579

Реклама. АО "Тинькофф Банк", ИНН 7710140679, лицензия ЦБ РФ № 2673

Sachok

11 Mar 2024 19:01

По Пелевину самый известный хакер не Кевин Митник, а Будда.

Sachok

07 Mar 2024 17:29

То и дело видишь красный сигнал светофора? У Flipper Zero нашлось применение и для этой ситуации.

Переключи на зеленый и расслабься.

@cybersachok

Sachok

06 Mar 2024 18:08

Apple выпустила срочное обновление уязвимостей, которые уже эксплуатируются хакерами.

Две zero-day в iOS до новейших патчей успели попасть в обиход злоумышленников в атаках на iPhone.

Речь об CVE-2024-23225 в ядре iOS и CVE-2024-23296 в RTKit(дает возможность хакерам с root-доступом на устройстве обойти защиту памяти ядра).

Обе они использовались в шпионских ПО. В зоне риска iPhoneXS, iPhone 8, iPhone X и целая коллекция айпадов.

Всем пользователям как можно скорее советуют обновиться.

@cybersachok

Sachok

04 Mar 2024 09:03

Тема про рабочий ноутбук для личных целей стала одной из самых популярных на Reddit в эти выходные. Видимо, многих волнует.

Пользователь рассказал, что компания, в которую он устроился, дала ему рабочий ноутбук и разрешила пользоваться им в личных целях. Щедро.

Правда, есть несколько смущающих нюансов: на устройстве установлено программное обеспечение для отслеживания, почти все заблокировано, а IT-специалисты компании могут подключаться к устройству без ведома владельца.

Оцени свободу в компании от 1 до 10.

@cybersachok

Sachok

29 Feb 2024 22:13

Об интересной уязвимости на iOS рассказали специалисты Bitdefender. Баг в приложении быстрых команд Apple Shortcuts дает возможность обойти защиту Apple, которая регулирует доступ к конфиденциальной информации пользователей устройств.

CVE-2024-23204 позволяет злоумышленнику обмануть TCC(Transparency, Consent, and Control), благодаря чему приложения могут получать доступ к конфиденциальной информации пользователей, несмотря на то, что разрешение на это пользователь не давал.

Используя функцию ExpandURL, исследователи обошли TCC и отправили зашифрованные base64 фотографии с устройства на удаленный сайт.

Помимо фото, получить доступ можно к файлам, контактам и данным буфера обмена.

Самая интересная часть истории в том, что Apple позволяет экспортировать Shortcuts и совершать обмен ими, поэтому пострадать от рук злоумышленников и установить вредоносный Shortcuts, уязвимый перед CVE-2024-23204, может немалое количество пользователей.

@cybersachok

Sachok

29 Feb 2024 10:50

Уже завтра коты начнут издавать свои странные мартовские звуки по ночам, а городские сумасшедшие выберутся из своих квартир на улицы городов. Фишинг с началом весны становится активнее, а ощущение времени магическим образом ускоряется. Для поднятия морально-боевого духа ИБ-специалистов ставим песню Отпетых мошенников «Моя звезда».

Sachok

28 Feb 2024 04:37

Была гонкой вооружений, стала гонкой утечек данных. За прошлый год США по количеству утечек данных обогнали Россию.

@cybersachok

Sachok

21 Mar 2024 20:34

Запретим кирпичи, чтобы не падали на голову

Около месяца назад канадские власти заявили о намерении запретить устройства Flipper Zero, так как с их помощью «можно угонять автомобили».

Ответ от создателей «тамагочей для хакеров», которые к слову, на российских маркетплейсах стоят в районе 30 000, не заставил ждать.

«В социальных сетях можно найти множество видеороликов, в которых дети обещают “хакнуть Пентагон” с помощью Flipper Zero, чтобы набрать больше просмотров. Такой контент породил множество мифов и используется журналистами, которые не утруждают себя проверкой фактов. Неудивительно, что некоторые политики начали предлагать запреты, основанные на ложной информации», — негодуют в своем блоге создатели Flipper Zero по поводу идиотской инициативы канадских чиновников, которые без понимания технических нюансов угона автомобилей с помощью перехвата радиосигнала решают запретить столь полезные для ИБ-исследователей устройства.

Создатели «тамагочей» уверяют, что для угона современных автомобилей нужно совсем другое оборудование, нежели их детище, а вот старые машины можно взломать даже с помощью проволоки, которую запрещать никто из канадских чиновников не намерен.

Raspberry Pi, Android-смартфоны и наушники, позволяющие перехватить радиосигнал, также никто не запрещает.

А следовательно мера по запрету Flipper чересчур избирательна.

Для угона современных автомобилей преступники используют специальные ретрансляторы сигнала, стоимостью от 5 до $15 000. Подобные репитеры оснащены несколькими радиомодулями и имеют мощность в несколько ватт, в то время как Flipper Zero использует один радиомодуль с частотой до 1 ГГц с ограничением в 10 милливатт, чего недостаточно для угона с помощью перехвата радиосигнала с автомобильного брелка сквозь стены.

Подытоживая, создатели Flipper, пишут, что проблема «не в доступности радиооборудования, а в небезопасности устаревших систем контроля доступа».

@cybersachok

Sachok

20 Mar 2024 19:04

Минимализм и эргономичность за рабочим местом — смертный грех, за который я буду каяться перед божеством гиков

Sachok

18 Mar 2024 19:06

Юрист после пятой попытки разобраться в требованиях российских регуляторов по ИБ

Sachok

18 Mar 2024 15:33

Мичиганские исследователи представили способы идентификации сеансов на базе OpenVPN. Результаты показали в двух научных работах по теме VPN Fingerprint.

Первая научная работа.

Вторая научная работа.

Эксперты успешно протестировали три способа определения сеансов OpenVPN в сетях провайдера Merit, у которого более миллиона пользователей.

По итогам тестов 85% сеансов OpenVPN оказались уязвимыми для идентификации.

Для исследования создали анализатор, на который был отзеркалирован трафик интенсивностью 20Гбит/с. Инструментарий ученых сначала на лету в пассивном режиме определял трафик OpenVPN, а после делал фактчек через активную проверку сервера.

40 различных типовых конфигураций(на 39 метод сработал успешно), 1718 из 2000 определенных соединений и 3245 из 3638 подтвержеднных сеансов в транзитном трафике за 8 суток.

Из 41 протестированных экспертами коммерческих VPN-сервисов, используют OpenVPN трафик идентифицировали в 34 случаях.

В сервисах, в которых не удалось идентифицировать трафик помимо OpenVPN использовали дополнительные слои шифрования.

В общем, безумно интересно и поучительно для тех, у кого есть безусловное доверие VPN-сервисам.

@cybersachok

Sachok

15 Mar 2024 21:49

Российские компании увеличивают расходы на информационную безопасность.

За прошлый год более 50% компаний увеличили расходы на средства защиты информации в среднем на 20%.

Основные причины роста расходов — приобретение специализированного ПО и новых поставщиков и увеличение штата ИБ-специалистов. Больше всего тратятся на софт из сегмента роскоши компании, которые не продляют текущие лицензии, а полностью заменяют ИБ-сервисы.

В целом расклад следующий:

«Средний бюджет компаний на ИБ зависит от размера бизнеса, отрасли и состояния текущих ИБ-сервисов. В 2024 году объем инвестиций в ИБ у малого и среднего бизнеса может составить от $40 000 до $80 000, — сообщили в ДРТ. — У крупных компаний бюджет на ИБ может исчисляться в миллионах долларов, особенно в секторе IT и телеком».

Компании стали чаще использовать для защиты инфраструктуры искусственный интеллект. Технологии ИИ для повышения безопасности планируют внедрить 26% российских компаний.

«ИИ-алгоритмы чаще всего используют для решения двух задач: обнаружения аномалий в большом объеме данных и управления инцидентами. Автоматизация ИБ-процессов с помощью ИИ наиболее распространена в финансовом секторе — ее применяет 71% компаний».

@cybersachok

Sachok

13 Mar 2024 11:04

Странные дела, вызвавшие тревогу специалистов по ИБ, произошли с главной базой данных уязвимостей. На сайте NVD появился баннер, в котором сказано, что работа по сбору информации и публикации данных об CVE приостановлены. Такая же ситуация произошла с сайтом https://www.cve.org/ (принадлежит организации, получающей финансирование от Министертва внутренней безопасности США, CISA и MITRE).

База NVD принадлежит национальному институту стандартизации США NIST, который собирал информацию об CVE, проверял ее и классифицировал.

В России есть своя база данных уязвимостей от ФСТЭК, однако в ней часто присутствуют источники нумерации CVE и другие материалы NVD.

Где брать технические данные по уязвимостям ИБ-специалистам, привыкшим к такому, казалось, стабильному и привычному сервису, вопрос риторический.

Мб теперь крупные российские и мировые ИБ-компании задумаются о создании своих баз данных угроз.
@cybersachok

Sachok

12 Mar 2024 21:59

В США тем временем растет киберпаранойа по поводу китайской слежки через оборудование и сервисы.

Чиновники из Палаты представителей провели расследование, в рамках которого изучались подъемные краны в морских портах(80% используемых кранов в портах США китайские).

Такими кранами можно управлять удаленно, а это непременно, по мнению чиновников, означает, что китайские хакеры смогут собирать с помощью них разведданные или вызывать сбои.

Расследование Палаты представителей выявило в портовых кранах уязвимости, которые «могут помочь коммунистам подорвать работу конкурентов по торговле и нарушить цепочки поставок, разрушая экономику страны».

Какие только параноидальные идеи иногда выдают чиновники в разных странах, чтобы выбить новые дорожки к кормушкам бюджетов.

КиберАдмирал Джон Ванн сделал важную ремарку: вредоносного ПО в ходе проверки обнаружено не было.

@cybersachok

Sachok

11 Mar 2024 20:31

Американский кибербез почти обезглавили в минувшем феврале с помощью уязвимости в продуктах компании Ivanti, сообщают нам зарубежные источники.

В результате атаки Агенство по кибербезопасности и защите инфраструктуры США(CISA), крышующее всю ИБ-отрасль Америки, отключило две ключевые системы. Об этом в частности сообщил представитель Агентства и официальные лица, знакомые с инцидентом.

Взломали систему Gateway IP, которая нужна для обмена инструментами оценки безопасности и Chemical Security Assessment Tool(инструмент для оценки безопасности химических объектов и оценках уязвимости их безопасности).

В последнем, к слову, хранится приватная информация о критически важных объектах промышленности.

Удалось ли хакерам украсть приватную информацию Американского ИБ-министерства, не уточняется.

Но вот, как пишут в своей версии коллеги из Secator, CISA начала предупреждать об угрозах с дырами Ivanti после того, как обнаружила подозрительную активность в своих системах.

@cybersachok

Sachok

11 Mar 2024 06:52

Когда ты белый хакер пентестер, но твоя субличность хочет взламывать всё и вся, получая нелегальный доход

Sachok

07 Mar 2024 11:49

Получите еще больше за найденные баги

Вы наверняка уже не раз слышали о багхантинге — поиске уязвимостей в программах известных компаний за вознаграждение.

А что, если успешный поиск багов принесет не только баунти?

Участвуйте в BUGS ZONE — ивенте по багхантингу. Вас ждет месяц хардкорного поиска уязвимостей.

Войдите в топ-15 и получите:

— приглашение на закрытый митап в Москве 12 апреля;
— доступ к новому закрытому скоупу и возможность заработать еще больше.

У любого из вас есть шанс: рейтинг на платформе учитываться не будет. Считаются только отчеты, сданные в период ивента.

Ждем вас на платформе BI.ZONE Bug Bounty. Будет жарко!

@cybersachok

Sachok

04 Mar 2024 09:40

SOC-аналитик, когда компания утвердила бюджет на год и решила наконец-то использовать коммерческий SOC на аутсорсе

@cybersachok

Sachok

01 Mar 2024 21:30

Опасный прецедент создал британский суд для разработчиков шпионского ПО.

Судья постановил, что разработчик Pegasus NSO Group обязан полностью раскрыть для WhatsApp функционал своего ПО и других инструментов шпионажа в рамках судебного разбирательства по делу о шпионаже за пользователями мессенджера.

Код ПО Pegasus, как известно, это почти государственная тайна. Каждая сделка по продаже софта зарубежным клиентам строго отслеживается министерством обороны Израиля.

И тут такая свинья от судьи британца.

Однако интересы NSO частично учлись судом: компании разрешили не раскрывать список своих клиентов.

@cybersachok

Sachok

29 Feb 2024 11:45

Мое лицо, когда начальник под пытками пытается вытащить из меня инфу о том, почему появились проблемы с серваком

Sachok

29 Feb 2024 10:32

Мы с парнями аплодируем компании, не побоявшейся использовать услуги ИБ-аудита

Sachok

27 Feb 2024 15:10

Хозяин дал Добби свободу

/channel/tolk_tolk/19142