ZLONOV

24 May 2024 09:26

Шикарный пример того, как из одного инфоповода сделать пять новостей =)

Подкину идею - у нас области и края ещё на районы и округа делятся...

ZLONOV

17 Apr 2024 14:39

На прошлой неделе НКЦКИ сообщил о запуске сервиса «Утекли ли Ваши данные? Проверьте» (УЛВДП). Естественно захотелось его сравнить с другим весьма популярным «Have i been pwned?» (HIBP).

Результаты навскидку такие:
- HIBP ищет только по электронной почте, УЛВДП - ещё и по логину и по номеру телефона;
- HIBP приводит краткую справку о самой утечке с ссылкой на более детальное описание, УЛВДП отображает только наименование источника утечки и дату;
- HIBP обычно находит больше утечек (сравнивал по нескольким адресам), но УЛВДП порой указывает на отсутствующие у HIBP - например, утечку Tele2.ru;
- HIBP позволяет подключить отдельный дашборд для поиска всех утечек для конкретного почтового домена;
- HIBP позволяет работать через API;
- на сайте HIBP есть общая статистическая информация и отдельная информация о всех подключенных базах, в сервисе УЛВДП такой информации нет.

В целом, для первой итерации - УЛВДП получился вполне рабочим, хотя о полной альтернативе HIBP говорить пока рано. Ну, а для бОльшего эффекта рекомендовал бы пользоваться ими обоими одновременно.

_______________________

Сервис НКЦКИ: https://chk.safe-surf.ru

Сервис Have i been pwned?: https://haveibeenpwned.com

Пресс-релиз: https://safe-surf.ru/specialists/news/706601/

Новость на AntiMalware: https://www.anti-malware.ru/news/2024-04-15-114534/43162 - новость с ошибкой: никакие пароли УЛВДП вводить не предлагает =)

ZLONOV

08 Apr 2024 18:24

Кобольдские письма

Оказывается, электронное письмо, полученное от доверенного лица, и даже подписанное его электронной подписью, - может оказать фишинговым.

Суть проблемы в том, что большинство почтовых клиентов позволяет использовать CSS (Cascading Style Sheets - каскадные таблицы стилей) для оформления электронных писем в формате HTML и грамотное использование особенностей DOM (Document Object Model - объектная модель документа) позволяет сформировать такое письмо, которое изначально выглядит вполне невинно, так как его часть просто скрыта (например, путём применения стиля «display: none;»), но при пересылке - изменяется и превращается в нечто совершенно иное.

Поэтому, как вариант, ваш шеф может переслать вам письмо с вопросами от потенциального клиента, а вы в свою очередь - получить от него уже указание необходимости перевода крупной суммы денег по неким банковским реквизитам.

«Кобольдскими» такие письма автор оригинальной статьи назвал как раз потому, что кобольды (нечистые духи в германской мифологии, сродни гномам) обычно невидимы и склонны к пакостям.

Уязвимость актуальна (в упомянутой статье приведены наглядные примеры) как минимум для:
- Thunderbird;
- веб-версии Outlook;
- Gmail.

В качестве меры защиты можно отключить HTML в почтовом клиенте и «включить» голову.

Автор, конечно, приводит пример с развитием событий в виде звонка шефу с просьбой подтвердить легитимность письма, и по его версии - необходимое подтверждение вы вполне можете получить, но, на мой взгляд, это уже притянуто за уши. Вряд ли кто-то спросит: «Вы пересылали мне сегодня письмо?», - но не упомянет его содержимое.

- Оригинальная статья (англ.): https://lutrasecurity.com/en/articles/kobold-letters/
- Пост Брюса Шнайера: https://www.schneier.com/blog/archives/2024/04/security-vulnerability-of-html-emails.html

- Про модель DOM: https://ru.wikipedia.org/wiki/Document_Object_Model
- Про CSS: https://ru.wikipedia.org/wiki/CSS
- Про кобольдов: https://ru.wikipedia.org/wiki/Кобольды

ZLONOV

22 Mar 2024 05:07

#пятничное Оригинал: https://pikabu.ru/story/urok_yurisprudentsii_11233505

ZLONOV

19 Mar 2024 11:09

Выборка сертифицированных операционных систем из реестра ФСТЭК России: https://zlonov.ru/fstec-os-2024/

ZLONOV

15 Mar 2024 05:07

Знаете, почему при поиске на странице с пресс-релизом про кражи eSim сочетания "F.A.C.C.T." находится 11 совпадений, а при поиске "F.A." - уже 18?

Вот на этой странице: https://www.facct.ru/media-center/press-releases/esim-bank-attacks/

Потому что 7 раз «F.A.С.С.T.» Написано с русскими «С» =)

Вот и думай - то ли это способ в очередной раз подчеркнуть российское происхождение компании, то ли наглядный урок по техникам тайпсквоттинга =)

А новость - да, интересная. И советы адекватные, разве что использование несуществующего термина «двухфакторная идентификация» меня традиционно забавляет =)

ZLONOV

11 Mar 2024 06:35

Компания Apple не только заблокировала приложения КриптоПро в App Store из-за введённых санкций, но и отозвала сертификат подписи кода продуктов для операционных систем macOS, из-за чего те, в частности, перестают корректно открываться после обновления ОС: https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=22960

Пошаговые инструкции от вендора: https://support.cryptopro.ru/index.php?/News/NewsItem/View/21/blokirovk-produktov-kriptopro-kompniejj-apple

ZLONOV

05 Mar 2024 14:24

Вышла моя статья на Anti-Malware, конечно же, про КИИ =)

Запрет иностранных решений в КИИ: как обстоят дела в реальности

Рассмотрим, какие нормативные правовые акты реально регулируют применение иностранных решений в КИИ, какие действуют ограничения и запреты, где всё ещё могут быть использованы альтернативные варианты.

https://www.anti-malware.ru/analytics/Technology_Analysis/CII-foreign-components-prohibition

ZLONOV

28 Feb 2024 11:22

Хочется напомнить, что с 01 марта вступает в силу Приказ №168 Роскомнадзора, который в том числе определяет Критерии «оценки информации о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации» - т.е. информации об обходе блокировок.

У себя в блоге нашёл аж три таких публикации. Пришлось последовать примеру SecurityLab, 4PDA и других.

Приказ Роскомнадзора: http://publication.pravo.gov.ru/document/0001202312010036

Новость про «Сайты начали удалять статьи-инструкции о скачивании VPN»: https://www.bfm.ru/news/544473

ZLONOV

12 Feb 2024 08:19

18 минут 49 секунд плотного интенсива про SSL decrypt в NGFW от Дениса Батранкова: https://youtu.be/HoQjY6vidmU

Без знания основ криптографии можно и не смотреть, но всё равно лучше прокомментировать, чтобы Денис провел обещанный за 50 комментариев вебинар =)

ZLONOV

01 Feb 2024 10:18

Сайт с интересной функциональностью: "...собраны различные рекламные сервисы и сервисы для сбора аналитики, чтобы вы могли проверить на них эффективность вашего блокировщика."

https://checkadblock.ru

Мой блокировщик смог заблокировать всё. Да простят меня владельцы сайтов с рекламой =)

ZLONOV

30 Jan 2024 09:03

Плюс один специализированный антивирус для АСУ ТП:

Dr.Web Industrial осуществляет защиту серверов и рабочих станций в промышленных системах управления и на объектах критической инфраструктуры от заражения вредоносным ПО и целевых атак. Решение позволяет контролировать доступ к файлам и директориям, а также подключаемые сотрудниками устройства и активность сторонних приложений.

Особенностью защитного комплекса является отсутствие необходимости прерывания технологического процесса при обнаружении вредоносной активности. Все участники производственной цепочки, от оператора рабочей станции до ИБ-службы компании могут отслеживать ситуацию в режиме реального времени и принимать решение по устранению угрозы безопасности.

Защитный комплекс Dr.Web Industrial предназначен для работы в среде Windows, Linux, FreeBSD. Лицензирование продукта осуществляется по количеству защищаемых объектов АСУ ТП.

Новость: https://news.drweb.ru/show/?i=14802
Описание: https://products.drweb.ru/industrial

ZLONOV

25 Jan 2024 16:03

Перечни типовых отраслевых объектов КИИ - пока набралось суммарно 7 штук: транспорт, энергетика, здравоохранение, химическая, горнодобывающая, металлургическая и оборонная промышленность.

Эх, такие бы Перечни года два-три назад - сколько копий в полемиках не было бы сломано...

https://zlonov.ru/laws/перечни-типовых-отраслевых-окии/

ZLONOV

10 Jan 2024 08:20

Не ожидал, что у нас ТАКОЕ количество каналов по ИБ: при первоначальном списке в 92 канала новых мне прислали уже почти 50 штук. Видимо, в следующем рейтинге надо будет какие-то критерии включения вводить (число подписчиков, возраст канала, активность или что-то ещё - надо подумать).

К слову, у сервиса TGStat вышло любопытное исследование аудитории Telegram за 2023 год: https://tgstat.ru/research-2023

ZLONOV

29 Dec 2023 13:56

Традиционный ТОП ZLONOV за год: https://zlonov.ru/top10-2023/

ZLONOV

26 Apr 2024 15:32

Так и живём... #пятничное

ZLONOV

11 Apr 2024 08:45

Мусасимару победил и сравнялся по количеству побед с Таканоханой:

Мобильная ОС «Ред ОС М», созданная на базе AOSP, осталась в Реестре российского ПО. Против признания данного продукта российским выступал «Ростелеком», который разрабатывает конкурирующую ОС – «Аврора».

https://www.cnews.ru/news/top/2024-04-10_rostelekom_proigral_bitvu

ZLONOV

28 Mar 2024 14:10

Добавил к списку докладов ИБ АСУ ТП КВО 2024 ссылки на краткие пересказы видео выступлений, сгенерированные нейросетью YandexGPT: https://zlonov.ru/events/2024-03-13-14-ибкво/

Вот как это выглядит на примере доклада Павла Сергеевича Зенкина из ФСТЭК России: https://300.ya.ru/v_UsvAYNSG

ZLONOV

20 Mar 2024 10:16

Лучшие доклады ИБ АСУ ТП КВО 2024: https://zlonov.ru/best-reports-ibkvo-2024/

ZLONOV

18 Mar 2024 07:09

Серия вебинаров УЦСБ «Безопасность КИИ и требования 187-ФЗ» в далёком доВСЕГОшнем, как говорится, 2018 году пользовалась весьма неплохой популярностью - суммарная пара десятков тысяч просмотров не даст тут соврать. Но с тех пор и законодательных актов существенно прибавилось, да и практического опыта удалось накопить немало - первые клиенты, для которых проводилось категорирование, успели уже и СОИБ построить и плановые проверки ФСТЭК России пройти.

В общем, думаю, понятно, куда я клоню =) Всё верно - мои коллеги из аналитического центра УЦСБ "перезапускают легендарную франшизу" и завтра, 19 марта, проводят первый вебинар серии «Как защитить КИИ от киберугроз». Присоединяйтесь и вы к слушателям: https://www.kiiussc.ru

ZLONOV

11 Mar 2024 11:13

Центр национальной компьютерной безопасности Великобритании (NCSC) представил набор бесплатных простых онлайн-утилит для проверки IP-адреса, почтового домена и браузера. На российские домены и IP вроде не ругается - проверяет и даёт дельные советы.

Цитата: «Все проверки проводятся удаленно, без необходимости установки программного обеспечения и используют ту же общедоступную информацию, которую киберпреступники используют для поиска легких целей».

Утилиты: https://emailsecuritycheck.service.ncsc.gov.uk

Пост в блоге: https://www.ncsc.gov.uk/blog-post/cyes-protect-customers

ZLONOV

07 Mar 2024 10:05

Опубликованы данные неаудированной отчётности Positive Technologies по итогам 2023 года. Интересно посмотреть на распределение ~25 млрд руб валовой прибыли отгрузок по продуктовой линейке. 6 продуктов дают вклад 75%. Остальные, судя по отсутствию на слайде, порог в 500 млн перешагнуть не смогли.

Пресс-релиз: https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-ozhidaet-uvelicheniya-chistoj-pribyli-nic-po-itogam-2023-goda/
Презентация: https://group.ptsecurity.com/storage/files/reports/POSI_2023_results_presentation.pdf
Все продукты Positive Technologies: https://www.ptsecurity.com/ru-ru/products/

ZLONOV

29 Feb 2024 12:16

Что случилось:
Пользователи Xiaomi по всему миру сообщают об обновлении, которое окирпичивает их смартфоны.

Как избежать:
Применять Методику тестирования обновлений безопасности программных, программно-аппаратных средств ФСТЭК России =)

А если серьёзно - пока отключить автообновление.

Источник новости: https://wylsa.com/polzovateli-xiaomi-po-vsemu-miru-soobshhayut-ob-obnovlenii-kotoroe-okirpichivaet-ih-smartfony/

Обсуждение в Xiaomi Community: https://c.mi.com/ru/post/380340

Методика ФСТЭК России: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g

ZLONOV

21 Feb 2024 09:29

AdGuard в своём блоге рассказывает о том, как именно работает сбор данных о пользователях iOS через push-уведомления:

- Разработчик приложения пишет код, который хочет запустить в фоновом режиме
- Разработчик отправляет push‑уведомление пользователю приложения. Тема может быть любой: от новостей или результатов матча до запроса на добавления в друзья
- Устройство пользователя получает push‑уведомление, но пока не показывает его на экране. iOS распознаёт, что уведомление пришло от приложения, например, социальной сети, и запускает его в фоновом режиме. Приложение запущено, но пользователь пока не видит уведомление и не может с ним взаимодействовать
- Приложение запускает код, который разработчик подготовил для работы в фоновом режиме. Это может быть вполне безобидный код, который, например, добавляет информацию в уведомление. А может быть такой код, который собирает данные с устройства пользователя и отправляет их на серверы разработчика

В итоге разработчики могут получить уникальную комбинацию программных и технических характеристик устройства пользователя.

ZLONOV

02 Feb 2024 09:21

Мда… Некоторые инициативы должны навсегда оставаться только инициативами. Тут явно такой случай:

Банкам предложили определять нерезидентов по геолокации

Если выяснится, что российский гражданин заходит в приложение банка в основном из-за рубежа, организация должна будет запросить у него дополнительную информацию о месте проживания. А если этих данных банк не получит, то сможет в одностороннем порядке расторгнуть договор и перестать проводить операции по счету клиента. Соответствующее предложение Минфина содержится в проекте постановления правительства, пишут «Известия».

BFM: https://www.bfm.ru/news/543337
Известия: https://iz.ru/1643011/natalia-ilina-mariia-stroiteleva-mariia-kolobova/mesto-i-polozhenie-bankam-predlozhili-vyiavliat-klientov-nerezidentov-po-geolokatcii

Плюс картинка-иллюстрация: #пятничное "О наболевшем"

ZLONOV

30 Jan 2024 18:05

Вставай, Наташ, мы всё уронили... (с)

https://portal.noc.gov.ru/ru/monitoring/

Update:
Хабр - https://habr.com/ru/news/790188/
РИА Новости - https://ria.ru/20240130/sboi-1924449185.html
РБК - https://www.rbc.ru/technology_and_media/30/01/2024/65b929219a79473658e31979

ZLONOV

26 Jan 2024 12:54

А ещё так можно вводить пароли в публичных местах, где кто-то может подсмотреть перемещения пальцев =) #пятничное

ZLONOV

24 Jan 2024 08:47

Крайне любопытный нестандартный вектор атаки: отслеживание положения пальцев руки пользователя через датчик освещённости ноутбука/планшета/смартфона.

Ладонь частично отражает свет от экрана на датчик, что при должном умении (не обошлось без привлечения ИИ) позволяет определить положение руки пользователя.

Пока атака в реальных условиях нереализуема (для достоверности результата рука должна быть неподвижна пару десятков минут), но это повод уже сейчас озаботиться дополнительными механизмами защиты от неё в будущем: ограничить доступ приложений к датчикам освещённости, понизить частоту их срабатывания и/или разместить датчики сбоку, а не на фронтальной поверхности.

Статья в Science (eng): https://www.science.org/doi/10.1126/sciadv.adj3608
Статья на MIT CSAIL (eng): https://www.csail.mit.edu/news/study-smart-devices-ambient-light-sensors-pose-imaging-privacy-risk
Статья на Хабре: https://habr.com/ru/companies/kaspersky/articles/788080/
Статья на Anti-Malware: https://www.anti-malware.ru/news/2024-01-22-114534/42654

ZLONOV

04 Jan 2024 08:13

Чаты и каналы Telegram по информационной безопасности 2024: https://zlonov.ru/telegram-security-list-2024/

ZLONOV

28 Dec 2023 15:38

Интересные примеры из практики моих коллег: Топ-5 уязвимостей 2023 года от Центр кибербезопасности УЦСБ https://www.youtube.com/watch?v=ayWz30uWUxU