13118
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Регистрация в РКН есть.
Битрикс не удивил
В Битрикс24 и 1С-Битрикс обнаружены уязвимости 7,5 и 7,3 баллов критичности.
Эксплуатация уязвимости может позволить злоумышленнику удаленно выполнить произвольный код, путем отправки HTTP-запроса.
Разработчик советует обновить ПО до версии 24.1100.0.
В качестве компенсирующих мер в канале БДУ ФСТЭК называются:
— ЗАПРЕЩЕННАЯ В РФ РКН ИНФОРМАЦИЯ;
— использование WAF;
— «белый» список IP-адресов;
— использование средств обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.
@cybersachok
Негативный Positive
В продуктах Positive Technologies обнаружили критическую уязвимость 9,5 баллов.
Уязвимость компонента PT MC в системах контроля защищенности MaxPatrol связана с неправильной аутентификацией.
Эксплуатация уязвимости позволяет злоумышленникам удаленно повысить свои привилегии.
Positive Technologies дала рекомендации по нивелированию последствий.
Если коротко — обновляться придется по полной.
«Пользователям продуктов MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, MaxPatrol Carbon и MaxPatrol O2 рекомендуется обновить MPX до версии 27.2.14850 или выше. Пользователи сертифицированных версий могут получить пакет обновления по запросу в службу технической поддержки.
Пользователям продуктов PT MultiScanner и PT Sandbox рекомендуется обновить продукты до версии 5.18.1.101838.
В продуктах PT NAD, PT ISIM и PT AF3 уязвимость актуальна только при настроенной интеграции с PT MC. Для решения проблемы пользователям этих продуктов рекомендуется обновить компонент PT MC до версии 101.4.8813 и выше», — говорится на сайте вендора.
@cybersachok
«Преодоление трудного начинается с лёгкого, осуществление великого начинается с малого, ибо в мире трудное образуется из лёгкого, а великое — из малого», —Лао Цзы.
Китайская лаборатория выпустила на днях конкурента o1. Как тренировали свои модели китайцы — не ясно. Очевидно, что такого кластера как у OpenAI у них не было. При этом качество ответов как будто не уступает западным моделям. А преимущество китайского релиза в том, что все бесплатно и без VPN.
Попросили китайского конкурента ChatGPT дать советы с точки зрения трех философских концепций Китая по отношению к проблемам российской кибербез-отрасли, чтобы быть безмятежными и мудрыми.
@cybersachok
Российские ИБ-компании продолжают нас радовать отчетами о своей деятельности и обнаруженных хакерских группировках, вредоносном ПО, инструментах и методах злоумышленников.
В этот раз Innostage поделились фактурой об очередном способе фишинговой атаки, который используется хакерами супротив российского бизнеса и доверчивых как святая простота корпоративных сотрудников.
Говорят, что распространился способ склонить к нехорошему — подключиться к мошенническому терминальному серверу под контролем беспринципных хакеров — через вектор атаки, названный Rouge RDP(обнаружил его центр противодействия киберугрозам Innostage CyberART).
Суть его в пресловутом фишинге с вредоносным файлом с расширением .rdp, которое при запуске дает возможность злоумышленникам удаленного исполнения кода, компрометации учетных данных, краже данных из буфера обмена, доступ к системным и общим дискам, смарт-картам и подключенным устройствам.
В общем, целый букет.
Особенность атаки в использовании доменов ликвидированных компаний, которые в быстром поиске легко находятся и делают письмо более убедительным.
Специалисты Innostage советуют заблокировать получение писем с вложениями формата .rdp и с помощью межсетевого экрана ограничить исходящие .rdp подключения к недоверенным серверам за пределами корпоративной сети.
В общем, береженого бог бережет, а корпорацию —дополнительные меры, предусматривающие, что сотрудники доверчивые, невнимательные, либо откровенно тупые.
@cybersachok
Сначала появился кибербез, потом уже появилась IT-отрасль. Ну вы че как сегодня на свет появились!
Читать полностью…
С багхантерами надо дружить. Одними из первых это поняли в Т-банке, сделав кэшбэк 50% для них при оплате продуктов в супермаркетах в течении года картой Black Bug Hunter.
Таким образом Т-банк сказал миру, что касты существуют даже в цифровом мире. И одна из них — это багхантеры.
@cybersachok
По данным Gartner, в 2025 году расходы на кибербезопасность вырастут на 15%, достигнув $212 млрд. При этом затраты только на программное обеспечение безопасности увеличатся с $87,5 млрд в 2024 году до почти $100,7 млрд в 2025 году.
Однако, несмотря на такие расходы, многие компании всё ещё полагаются на устаревшие технологии, которые не способны противостоять современным угрозам.
Журналисты издания CSO пообщались с разными CISO и выяснили, что компаниям по всему миру пора проводить ревизию своего хозяйства.
Прочитали за вас статью и публикуем список того, от чего по мнению CISO нужно избавляться:
1) Средства контроля безопасности на основе паролей
Ричард Маркус, директор по информационной безопасности компании AuditBoard, считает, что передача статических учётных данных третьим сторонам слишком рискованна. Отказ от использования паролей в пользу динамической аутентификации и многофакторных решений является ключевым шагом в повышении безопасности. Исследования показывают, что половина всех утечек данных связана с ненадёжными или украденными паролями.
Многие компании по-прежнему проводят тесты на проникновение один-два раза в год, что не отражает реальную картину безопасности в условиях постоянных изменений инфраструктуры. Аттила Торок, директор по информационной безопасности в GoTo, считает, что такие тесты неэффективны, и предлагает более динамичный подход — регулярные проверки с использованием программ вознаграждения за обнаружение уязвимостей. Это стимулирует более эффективное выявление угроз в реальном времени.
VPN продолжает использоваться для защиты удалённого доступа, но с учётом современных угроз эта технология уже не является универсальным решением. Пабло Балларин, эксперт по кибербезопасности, отмечает, что VPN остаются полезными в определённых условиях, но для большинства организаций они становятся недостаточными. Вместо этого стоит переходить к многослойной защите, включая многофакторную аутентификацию и стратегию нулевого доверия.
Джордж Герчоу, преподаватель IANS Research, подчеркивает, что локальные SIEM-системы, не ориентированные на облачные решения, могут быть неэффективными в условиях быстроменяющихся угроз. Современные подходы требуют гибкости и способности быстро адаптироваться к облачной среде.
Технологии брандмауэров, зародившиеся в 1980-х, значительно устарели. Современные угрозы требуют более гибких решений, чем простые фильтры пакетов. Стефани Хагопян из CDW утверждает, что переход на облачные брандмауэры и другие современные цифровые решения позволяет повысить безопасность и гибкость управления сетевыми угрозами. Это требует значительных усилий в обновлении инфраструктуры, но в итоге улучшает защиту от сложных атак.
Росатом займется сертификацией ИТ-решений для объектов критической информационной инфраструктуры.
Система добровольной сертификации «КИИ-СЕРТ» — это комплекс требований, органов и испытательных лабораторий, необходимых для добровольной сертификации решений критической информационной инфраструктуры.
Основной целью функционирования системы является подтверждение соответствия решений критериям технологической независимости для обеспечения устойчивости КИИ. Фактически, Росатом создал отраслевой центр сертификации, в который с готовностью впишется любой вендор — за возможность продать свой софт в огромное количество компаний, дочек, контрагентов и партнеров.
Сертификация будет включать документарную экспертизу, выездные проверки и тестирование в специализированных лабораториях. Такой подход обеспечит высокое качество и безопасность продукции, а также минимизирует риски при ее использовании на критически важных объектах. В сертификацию попадут серверы, системы хранения данных и другие ключевые компоненты.
Пилотные полигоны, созданные в атомной отрасли с 2023 года, подтвердили актуальность создания специализированного органа по сертификации. В рамках этих полигонов было выдано 18 заключений о соответствии ИТ-оборудования требованиям технологической независимости.
@cybersachok
Сколько вы видели успешных проектов в Telegram по ИБ, которые ведет нейросеть и при этом их интересно читать?
О канале «Репорты простым языком» в ИБ-сообществе говорят давно: в нем, как очевидно следует из названия, без заумных оценочных суждений описаны важные дисклоузные отчеты по ИБ с различных платформ, а собирает их нейросеть.
Как по мне, канал очень полезен тем, что в нем нет лишней воды, публикуются действительно важные детали, чтобы пробежаться по тексту и найти необходимую информацию.
Нейросеть дает выжимку самой полезной информации, с объяснением не только репортов, но и докладов, ИБ-статей, рассказывает про баги, выплаты за них и уровни критичности.
Из примеров, то что близко сердцу многих — текст про кражу сессии standoff365.com
Ну и за небольшое время существования, у канала багхантера circuit уже несколько тысяч подписчиков, что говорит о его востребованности в ИБ-комьюнити.
Очередной пример того, как в ИБ отрасли рождаются прогрессивные и смелые медиа, пока в других отраслях только думают об этом.
Главные враги приватности — это маркетологи, которые хотят знать о потенциальных клиентах все: от модели смартфона до карты передвижения по городу. Шпионское ПО, которое могут позволить себе определенные люди ради определенных людей на фоне современных маркетологов выглядит вполне безопасным.
Информацию с пионерским энтузиазмом собирают специализированные брокеры данных, а потом предоставляют кому угодно, от частных компаний до силовиков в США.
На днях одного крупного брокера, компанию Gravy Analytics, которая собирала данные о пользователях в 150 странах мира, включая Россию, взломали. В качестве доказательства хакеры опубликовали на форуме сэмпл на 1,5 гигабайта с геометками 10 миллионов пользователей.
«Обезличенные данные» содержат в себе массу информации — модель устройства, подключение к точкам wi-fi, рекламные метки, а в ряде случаев даже номера и почты пользователей.
А была ли анонимность?
Киберпреступники утверждают, что получили доступ к инфраструктуре Gravy Analytics в далеком 2018 году, когда в Росси был Чемпионат мира по футболу. Вероятнее всего, все эти 6 лет они использовали его для своих нужд или продавали доступ/пробив заинтересованным лицам.
Но поскольку сервисом заинтересовалась FTC (федеральная торговая комиссия США) и обязала компанию удалить целый ряд чувствительных данных, злоумышленники просто выкачали всю базу.
В треде в запрещенной соцсети осинтеры уже начали разбирать опубликованную информацию и делиться первыми находками. Простор для творчества и правда огромный, особенно в отношении людей, которые посещают интересные объекты в разных странах: от специфических больниц и производств, до военных объектов.
А пока крупные компании из недружественных стран собирают в России огромные массивы данных о передвижении людей и «обезличенно» продают их всем заинтересованным, от бизнеса до силовых служб США, наши законотворцы заняты модерацией геймдева и ослаблением его деструктивного влияния на молодежь.
@cybersachok
Pov: ты случайно услышал разговор коллег в курилке сегодня
Читать полностью…
Черный лебедь, что ж ты вьешься над моею головою
Издание Politico представило топ «чёрных лебедей» на 2025 год. На первом месте в материале оказался прогноз рекордной по разрушительности кибератаки, которая «на время выведет из строя значительную часть мировой инфраструктуры».
Прогноз соседствует с такими оптимистичными сценариями, как ядерный апокалипсис и новая пандемия, поэтому кибератаки не кажутся такими уж пугающими на этом фоне.
Автор прогноза, Гэри Маркус, называет три основные причины:
1) Плохие парни активно осваивают ИИ для изготовления дипфейков, проведения фишинговых кампаний и написания вредоносного кода.
2) Сами нейросети и большие языковые модели остаются достаточно уязвимыми, но при этом внедряются повсеместно.
3) Команда нового президента США, судя по их риторике, не намерена уделять большое внимание вопросам ИБ, в частности, планирует сократить финансирование профильных регуляторов, что негативно скажется на качестве и количестве расследуемых киберпреступлений.
Читатели прислали:
«Вычитала в глянцевом журнале москвичка, что в первом гуме МГУ в 90-е тусовался под лестницей в холле цвет нынешней московской интеллигенции и называлось это место «сачок». От слова сачковать».
Основатель Future Crew Евгений Черешнев покинул компанию сразу после презентации Membrana. Почему же и куда?
/channel/bladerunnerblues/355
Вендор «Базис» отчитался о проведенном совместно с ИСП РАН тестировании уязвимостей в компонентах с открытым кодом для виртуализации. Сообщают, что процедура проходила на мощностях испытательной лаборатории «Фобос-НТ» с привлечением студентов из МГТУ им. Н.Э. Баумана и Чувашского государственного университета.
Что примечательного? Open-source элементы используются в инструментах виртуализации по всему миру, в том числе в продуктах компании и всех решений виртуализации в России. Это обуславливает необходимость тщательного тестирования для обнаружения возможных проблем и, в особенности, уязвимостей и угроз утечек.
Исследователи изучили следующие «открытые» компоненты:
- nginx,
- ActiveMQ Artemis,
- Apache Directory,
- libvirt-exporter,
- QEMU.
Nginx, в частности, используется для балансировки нагрузки в виртуальных средах, и качество этих сред влияет на многие российские и зарубежные решения для работы с ними.
Libvirt-exporter предоставляет API для управления виртуальными машинами, и потому этой библиотеке уделяется особое внимание, так как её сбой может повредить инфраструктуру и привести к утечке конфиденциальных данных.
Каковы результаты? В ходе статического анализа обнаружено 178 дефектов, большинство из которых связано с популярным брокером сообщений ActiveMQ Artemis и сервером каталогов Apache Directory. Изучив ошибки, специалисты ИСП РАН и «Базис» подготовили 86 исправлений для продуктов компании. Помимо этого, фаззинг-тестирование обнаружило еще 13 дефектов в коде, включая 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Вывод же из этого следующий – элементы открытого кода в разработке это, конечно, неплохо. Но также не стоит при выборе решений забывать о потенциальных рисках и угрозах, способных прийти с этой стороны.
Не помню, что такая практика была в ходу в отрасли, но было бы неплохо и другим разработчикам виртуализации подобное перенять.
@cybersachok
К вопросу об анонсе продукта от МТС Membrana, вызвавшем шквал публикаций в телеграм-каналах с посылами в тональности «наглая корпорация, наплевавшая на Роскомнадзор, законодательство РФ и всех всех всех», хочется сместить фокус на постправду, кликбейт и хайп.
Пример любителей играть в постправду — известное отраслевое СМИ, принадлежавшее в давние времена РБК —CNews, которое часто формирует мнение читателей с помощью своих игривых заголовков. Содержание статьи после заголовка, в котором закодирован субъективный посыл редакции или автора, для тех, кто не любит тратить время на чтение длинных текстов — уже не имеет значения.
Вторит сегодня CNews ряду телеграм-каналов, которые в традиции эпохи постправды публикуют искаженные, урезанные факты в постах, обильно снабженных субъективным трактовками авторов или людей, стоящих за ними.
В частности, посыл заголовка CNews, разлетевшегося по чатам и каналам, уже в обратную сторону разгоняя нарратив, формируемый, называющими себя тенхоблогерами людьми, явно считывается как «Какая нахальсва! Какая вопиющая нахальства! Он еще вспоминает Бога!
(цитата из сериала «Жизнь и приключения Мишки Япончика(однажды в Одессе)».
Мы как простые люди не стали рисоваться умением создавать кликбейтные заголовки и обратились за комментарием к МТС:
«Продукт, который вызвал шквал публикаций в СМИ, соответствует всем требованиям законодательства РФ и не помогает в обходе блокировок сервисов, нарушающих российское законодательство. Membrana скрывает российский IP адрес для того, чтобы можно было получить доступ к зарубежным приложениям и сервисам, запретившим доступ для российских пользователей. Что касается безлимитного доступа к YouTube — информация устарела, так как тариф разрабатывался до введения ограничений. В нынешней версии продукта такая опция не предусмотрена.», — представитель МТС.
Завершить хочется словами из произведения современного поэта L’One «Постправда»:
«Ради контента я понюхаю и васаби
Верь всему, что написано в моём телеграмме
Эти новости, кстати, мы придумали сами
Что такое сделать, чтоб обратили внимание
Сделаю себе в прямом эфире обрезание
Позову на стрим девок, буду бить ногами
Люди, задонатьте лям, я отвезу маму в Маями
Нет конца, нет края, антихрист танцует вальс
Ты хочешь что-то сказать, мы тусой закроем пасть»
@cybersachok
Реакция регуляторов, когда наш продукт наконец-то получил сертификацию ФСТЭК
Читать полностью…
«Фуфелшмертц Пакость Инкорпорейтед»(FPI) — миллион долларов за мемкоин
Российский зумер ради шутки «открыл» мемкоин, выставил его на криптобиржу и начал рекламировать его в стримах на Твиче и Тиктоке.
После появления на бирже капитализации мемкоина FPI составила $110 тысяч. Люди начали массово скупать монеты по приколу.
Дальше мемкоин расфорсился еще больше и преодолел объем торгов в миллион долларов.
Создатель прямо сейчас мог бы нажать кнопку «продать» и сделать состояние, но он продолжает разгонять хайп вокруг своего мемкоина, чтобы не рушить надежду покупателей.
@cybersachok
Sachok, задумывавшийся изначально как сатирический проект, в котором даже название было заточено под иронию, уже прошел ступень канала с новостями кибербеза, инструмента отслеживания мировых и российских ИБ и IT-трендов.
За время существования мы слышали от вас разное: что-то брали на заметку, чтобы становиться лучше и соответствовать требованиям отрасли, а что-то было просто приятно слышать.
Признаться, на старте мы не задумывались, что можем быть не просто Telegram-каналом с мемами, а каналом, который читают регуляторы, CEO, CISA, топ-менджмент, самые успешные в своем направление ИБ-спецы, пентестеры, да и в целом все ЛПР в отрасли.
Осознавая это, начинаешь чувствовать большую ответственность перед читателями: отказываешься от кликбейта, больше внимания уделяешь проверке информации, отбору тем и возможностям, которые мы можем дать для развития ИБ-отрасли в России.
Одним из следствий этого осознания стало то, что мы решили дать возможность на своей площадки высказываться разными людям из ИБ, у которых есть свое уникальное видение, экспертиза и ценный опыт, который нельзя прятать в ящике стола, а непременно нужно им делиться.
Новости изумительного малваростроения. Команда Check Point опубликовала исследование нового вредоноса под Mac OS, который обходит системы обнаружения с помощью нового шифрования строк, скопированного из внутреннего алгоритма Apple.
Сам стилер Banshee не то чтобы новый — доступ к стилеру в формате услуги продавался на андеграундных форумах, а реклама этого проекта велась даже в Telegram-каналах, пока Дурова не накрыли во Франции исходники вредоноса не слили на одном из даркнет-форумов. По данным все того же Check Point, слив исходника привел к тому, что оператор закрылся на следующий день.
В конце сентября исследователи обнаружили новую, ранее не известную версию Banshee Stealer, нацеленную на macOS.
В этой обновленной версии появилось шифрование строк, поскольку в предыдущих версиях все строки были в открытом виде. Однако автор Banshee «украл» алгоритм шифрования строк из антивирусного механизма Apple MacOS XProtect.
Вот так преступный ум придумал, как использовать защитные технологии Apple против их же устройств. Кто автор сего творения, старые владельцы Banshee или кто-то иной, исследователи однозначно не знают, но говорят, что флажок с русским языком исчез из новой версии, что может говорить о смене владельца.
@cybersachok
Рубрика «Наши любимые фобии»
Специалисты по аппаратной части здесь?
Эксперт по кибербезопасности утверждает у себя в X, что разобрала переходник с Aliexpress и нашла внутри чипа SPI exe. который распознавался как вредоносное ПО для Windows.
Говорит, что exe. внедряет вредоносный код, собирает данные о нажатии клавиатуры и использует для маскировки русский язык.
Теперь в комментариях у Евы Прокофьевой разгорелась дискуссия: спецы со всего мира спорят о том, паранойа ли у специалистки или ей действительно попалось устройство с не обязательным функционалом.
@cybersachok
Спасибо позитив технолоджис. Исполнили желание🙏
От Лукацкого и его чувства иронии я в восторге)
/channel/notlukatsky/2816
Подводные камни выхода на багбаунти
Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, оунер трека AppSec на OFFZONE, выпускник МГТУ имени Баумана, специально для канала Sachok написал серию колонок про нюансы выхода на Баг Баунти.
За последние пару лет багбаунти тема стала невероятно популярной. Финтех, ритейл, электронная коммерция, государственные цифровые ресурсы и даже разработчики коммерческого ПО выводят свои программы на нашу и другие платформы и работают над их расширением и улучшением.
Однако выход на багбаунти — это не волшебная таблетка для вашей безопасности, которую достаточно один раз принять, и все заработает само.
Багбаунти-программа — большая работа внутри компании до и во время ее выхода.
Для решения вопроса с внутренними согласованиями у вас есть два пути: путь силы и путь дипломатии.
ИБ сторона Telegram начала разгонять про то, что в конце ноября 2024 Росреестр объявил тендер на 296 млн на предоставление лицензий в рамках модернизации своего ВЦУИИБ, который отвечает за ИБ в системах и ресурсах Росреестра и информационных систем и сетей связи, автоматизирующих процесс обработки информации в них.
Подсистемы в рамках ВЦУИИБ, якобы, созданы с применением решений от Positive Technologies, MaxPatrol Vulnerability Management, Positive Technologies Network Attack Discovery, Positive Technologies Application Firewall, MaxPatrol O2 и ряд др.
Подсистема управления инцидентами и взаимодействия с ГосСОПКА строится на базе продукта Positive Technologies – «Позитив Текнолоджиз ведомственный центр».
Притормозите коней.
Может быть были еще другие решения, в которых были непропатченные дыры?
Да и в конце концов, официальных комментариев от Росреестра, где ведомство подтверждает подлинность информации, пока нет.
Счастливого Рождества, православные!
@cybersachok
Ого! В этом году мы в рейтинге ИБ-каналов Алексея Комарова на 35 месте.
3 года назад нас в этом авторитетном рейтинге ИБ-каналов не было вообще, а в прошлом году впервые попали в подборку вне рейтинга.
@cybersachok
Я, слетав на три дня в Азию, два из которых потрачено на перелет, возвращаюсь 3 января в офис
Читать полностью…
А Позитив Технолоджис взяли мой адрес для доставки подарка, а подарок не прислали😂😂😂 Наверное затерялся в масштабах корпорации.
Зато теперь у них есть мой адрес. Мне не жалко!
Будем!
P.S. Санта, неужели я был плохим мальчиком в этом году?
Дорогие читатели!
Мы в этом году взяли курс на деанонимизацию, еще до реестра РКН, в который наш канал уже включен. Хорошо это или плохо — покажет время.
Те микро и макровызовы, с которыми нам пришлось столкнуться после первого выхода в оффлайн — отдельная история.
Но все это мелочи по сравнению с тряской, которую в 2024 году стойко вынесла кибербез отрасль в России.
Вам хватало сил и на защиту и на инновации. С одной стороны защищали бизнес от хакерских атак, с другой стороны успевали быстро адаптироваться к новым требованиям, контексту, вызовам и попутно выкатывать отечественные решения на рынок.
В общем, вдохновляли нас по полной!
Слово года 2024, по нашему мнению — адаптивность.
Тем, кто уходит на каникулы, хорошо провести время, тем, кто в SOC 24/7, минимум внешней активности.
Будьте как чилл гай в 2025, нордические, стоические и спокойные несмотря ни на что. Потому что все мы всего лишь маленькие частички с раздутым на свой круг общения эго, в сущности не влияющие на ход жизни, которая будет продолжаться вне зависимости от того, есть мы или нет.
@cybersachok