Дорогие дамы!

С праздником!

Так исторически сложилось, что профессии часто делились на "мужские" и "женские". Цифровая эпоха, ковид и удаленка постепенно меняют сложившуюся ситуацию там, где ее можно менять. И многие профессии уже перестают быть мужскими или женскими.

С каждым годом в ИБ все больше девушек, и это здорово, и мы этому рады. Хотя на наш взгляд, самое правильное деление в профессии — не на мужчин и женщин, молодых и возрастных или москвичей и людей из регионов. Главное — деление на профессионалов и всех остальных.

Так вот. Дорогие девушки. Мы рады, что среди вас есть много чудесных профи, с которыми очень приятно работать. С праздником!

P.S. были рады зарегистрировать дам - настоящих профи кибербеза у нас на площадке!

А еще теперь нас зовут читать лекции!)

Для авторского курса CTO (технических директоров) Дмитрия Симонова (https://l.dsimonov.consulting/yRVIKe) мы начали читать лекции про баланс ИБ и IT в компании. Назвали просто — "построение баланса IT и ИБ и пять стадий принятия кибербезопасности". Тема важная — мы часто видели, как в компании, особенно молодой, обе функции перетягивают одеяло на себя. IT часто видит в ИБ не помощника, а конкурента, и это огромная проблема. Эффективная защита инфраструктуры строится только на поисках баланса и взаимном уважении.

С каждой проблемой можно работать. Где-то считают, что ИБ-функция вообще не нужна и угрозы никогда не реализуются. Где-то IT обвиняет ИБ в лоббировании и уже реализовавшихся проблемах. Где-то спорят за бюджеты и закрывают реальные проблемы кучей бумаг. И каждая ситуация требует своего решения.

К слову, напоминаем, что средний ущерб от ransome - атак составляет порядка 100К долларов для среднего бизнеса и от миллиона — для энтерпрайза. И это явно больше, чем ИБ-бюджет. ИБ (как и любое управление рисками) требует разумного баланса между расходами и потенциальным ущербом ... и мы рассказываем, как его достичь.

Ценность утечек падает — кажется, уже утекло слишком много.

Тут Роскомнадзор приводит "волшебную" статистику — в 2022 году произошло около 150 крупных утечек персональных данных. По другим данным — больше 300 баз и больше миллиарда строчек данных. Получается и смешно, и грустно — каждая дополнительная утечка уже имеет меньшую ценность, так как в значительной степени содержит уже слитую информацию. Как говорится утекло так много, что утекать больше нечему. Ну, или почти нечему.

По некоторым данным, на Россию пришлось около трети (!) всех сливов баз ПД. Но самое прекрасное во всей этой истории — это реакция регулятора и правоохранительных органов. Сам РКН пишет, что по результатам рассмотрения материалов суды назначили штрафы на общую сумму около ... 1 млн рублей. Мы очень надеемся, что речь идет о каких-то судебных штрафах для злоумышленников, иначе выглядит совсем грустно.

О чем это говорит? О том, что на сегодня ответственности за утечки данных в России практически нет. Понятно, что актуализированная информация будет представлять ценность, как и финансовая информация, но в остальном все плохо. Созданный РКН Центр правовой помощи гражданам в цифровой среде в текущей ситуации является бесполезным паллиативом — величину штрафа определяет совсем не РКН, а действующее законодательство.

До тех пор, пока в России не будет системной борьбы с утечками, персональными данными россиян будут торговать у каждого забора. Такие дела.

Утечки закончились, утекать больше нечему — дальше атаки на инфраструктуру.

Как мы уже писали раньше, эффект (и медийный, и финансовый) от каждой следующей утечки данных в России будет падать. Не до нуля, так как данные все равно устаревают, но со скандалами середины прошлого года это не сравнится. Когда куча крупных компаний уже протекла, удивить чем-то новым тяжело.

Мы предполагаем, что в ближайшие пару месяцев злоумышленники перейдут от похищения клиентских данных к атакам непосредственно на инфраструктуру компаний. Тут можно вспомнить кейс rutube как эталонный пример такого рода атаки.

Первые неприятные звоночки уже были — протек Уралхим, причем в сети оказались не только базы данных сотрудников (с логинами и паролями, ага), но и некоторая внутренняя информация. И есть очень большой вопрос, как долго злоумышленники были в системе и каких результатов они могли добиться.

Мы убеждены, что теперь главной целью атак станет не кража данных, а нарушение работы инфраструктуры. А это может быть куда страшнее.

Дорогие подписчики!

У нас уже набралась стабильная, хоть и небольшая относительно многих каналов аудитория. Нам вы особенно важны, поэтому мы просим вас поучаствовать в этом опросе:

Мы стараемся писать о вещах, которые мы сами считаем достаточно важными. Мы не новостной паблик. Какое количество действительно важных постов в неделю вам было бы комфортно читать, чтобы избежать эффекта "спама"?

О проектных рисках, или притча о безопасности полетов

В нашей работе регулярно встают вопросы о том, что любая деятельность в ИБ, даже совершенно белая и легальная, несет определенные риски для компании — клиента. Мы подумали, и вот что имеем сказать.

Во-первых, мы предупреждаем обо всех рисках. В том числе тех, которые имеют мизерные шансы реализоваться — тут как с падением метеорита. Случиться может, результат фатальный, но вероятность крайне мала. Мы делаем это просто потому, что считаем такой подход наиболее правильным и честным по отношению к клиенту.

Причем, коллеги, есть риски, защищаться от которых дороже, чем просто их принять. Можно, например, развернуть дополнительный тестовый контур, но если стоимость мероприятия значительно превышает стоимость работ по ИБ и сопоставима с величиной возможного ущерба — оно точно нужно? И так далее.

Во-вторых, мы в любом случае подбираем опытных исполнителей. Это не новички. Мы проверяем их работу. Мы четко понимаем, что это те люди, которые понимают, что они делают. Но тут ситуация как с врачебной ошибкой — можно минимизировать, но нельзя свести к нулю, и ошибаются даже лучшие. И у интеграторов, и у крупных ИБ компаний ситуация та же самая, мы просто считаем правильным говорить о ней с самого начала. При этом подчеркиваем, что вероятность реализации риска — минимальная.

ИБ - это про управление рисками. Риск-менеджмент — это не про сведение угроз к нулю, это про оптимальный результат. Наша задача — найти оптимальное соотношение между безопасностью, удобством и ценой. Финальное решение в любом случае за вами, но мы стараемся помочь вам правильно все оценить.

Напоследок расскажем одну притчу. Вызывают однажды главкома ВВС ПВО СССР в Политбюро и говорят: "Что-то у вас самолеты часто падают". "Товарищи, с завтрашнего проблема будет решена, ни одной аварии не будет!" — отвечает командующий, заслуженный ветеран. "А что вы планируете сделать?" — с сомнением спрашивают его? "Да я с завтрашнего дня запрещу все полеты" — ответил маршал.

Так вот, вы можете просто запретить полеты. Но, кажется, это не совсем то, что нужно.

Если у вас остаются вопросы — направляйте, мы постараемся максимально оперативно на них ответить.

Нулевой день для российских хакеров
(CVE-2023-23397)

Тут пишут, что украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) нашла и зарепортила в Microsoft некую новую уязвимость Outlook, причем судя по скорости исправления и реакции, речь идет об уже эксплуатирующийся 0-day, уязвимости нулевого дня. Сами американцы пишут, что некая группа из России использовала ее для атаки нескольких европейских и украинских организаций — судя по описанию, это похоже на правду. В атаках обвиняют APT28 (ака Fancy Bear и куча других названий), известная группа, которую часто называют связанной с ГРУ.

Уязвимость получившая идентификатор CVE-2023-23397 использует Microsoft Outlook для получения учетных данных пользователя. Работает это примерно так — есть учетная запись, из-под которой работает Outlook. Приходит в Outlook письмо, отправленное злоумышленниками, и когда почтовый клиент письмо обрабатывает, чтобы показать уведомление — в этот момент уязвимость инициирует подключение к серверу злоумышленников по протоколу SMB (445/TCP). Таким образом на сервер злоумышленников прилетает хэш учетных данных. Это не логин-пароль в открытом виде, но если у атакующих есть 0-day, то ферма для перебора паролей по хэшу уж точно найдется.

Что беспрецедентно - жертве не нужно предпринимать никаких действий, открывать письмо, ходить по ссылке, и так далее. Единственная защита до вчерашнего патча была в том, что из внутренней сети иногда закрывают исходящие подключения к "внутренним" портам, к тому же 445/TCP. А вообще, если это и правда сделали из России можно сказать только одно — 0-day это всегда про высокий уровень и говорит об очень серьезной квалификации.

#3side_безполитики

Новость дня - в США арестован админ Breachforums, крупнейшего форума-агрегатора утечек

Вчера примерно в 4:30 вечера по Москве ФБР арестовало Брайана Конора Фицпатрика aka pompompurin (пруф) по обвинению в компьютерных преступлениях. Его считают владельцем и админом одной из крупнейших площадок, связанных со сбором утекших данных.

Что известно на текущий момент:
- Breachforums - крупнейший форум по утечкам на данный момент в мире, туда выкладывали вообще все
- Парень 2002 года рождения
- Давал анонимное интервью одному из самых известных журналистов по кибербезу Брайану Кребсу
- Будут скорее всего аресты иных участников (ну, до кого дотянутся, лол) и попытки деанона пользователей
- ФБР, как всегда, на высоте - ждем докладов на хакерских конфах о том, как его сдеанонили.
- Вели его ГОД, то есть это огромная системная работа

Утечки и продажа данных, конечно, на этом не закончатся. Но "сигнал рынку" получился весьма характерный и мы думаем, что это далеко не последний арест.

Пара слов про возможный запрет айфонов для чиновников

Тут в СМИ появились предположения, что в АП хотят запретить использовать айфоны своим сотрудникам. Идея интересная, но ее смысл, на наш взгляд, довольно сомнительный. И об этом мы уже писали.

Проблема — в отсутствии альтернативы. Нет, не вопрос, можно хоть всех чиновников пересадить на андроиды с любой ОС, просто будет ли это безопаснее? Не факт, скорее наоборот, это будет в разы уязвимее. Потому что самый действительно безопасный вариант — это как раз iPhone с отключенным бэкапированием в ICloud. Тогда Apple все еще сможет его заблокировать, стереть данные или что-то удалить. Но получить данные с телефона — нет. Извините, у них и с разблокировкой то есть вопросы.

Android — это зачастую миллионы малварей, гораздо более серьезные дыры, которыми может пользоваться любая достаточно квалифицированная APT. Если же Apple будет по указке спецслужб США внедрять дополнительные механизмы для слежки, раскатывать обновления и что-то подобное, это сразу всплывет.

Причина простая до неприличия — любой их билд анализируется и потом будет такой чудовищный удар по репутации айфона, который изначально был известен своей защищенностью, что компания вряд-ли пойдет на что-то подобное.

Реверс-инжениринг прошивок был, и любую подобную историю уже давно бы спалили — их обновления и ОС под постоянным контролем не только спецслужб и APT (для которых это очевидная цель), но и толпы исследователей. АНБ и ЦРУ тратят миллионы долларов на расшифровку силами коммерческих подрядчиков каждого айфона, который достался им от террористов. А Apple дает им бэкапы из облака. По ордеру.

Можно пытаться строить свою ОС под конкретные задачи, только это вопрос на десятки миллионов долларов и с сомнительным результатов — ну нельзя, нельзя построить защищенную ОС на базе дырявого ядра. Даже если ты Гугл, этот сложно. Но даже если получится, приложений под нее не будет. А значит результат будет на уровне кнопочного телефона, и каждый чиновник просто заведет себе второй удобный телефон. Разумеется, на жену, собаку или водителя.

Альтернатива — создавать гиганты уровня Хуавея или других топовых китайцев (к слову, они одно время платили исследователям в МСК по пол-миллиона рубелей в месяц в белую). Только это тоже задача на миллиарды долларов и годы, если не десятилетия. Хотя идея благая, не спорим.

Вот такие дела. В борьбе секурности и удобства обычно побеждает второе.

Шантаж, прикрывшись флагом, — или как неконтролируемые хакеры вредят своей стране

На днях прошли две новости о взломе крупнейших космических операторов мира — SpaceX и NASA. Ответственность на себя взяли пророссийские хакерские группировки LockBit и PHOENIX — якобы они смогли получить доступ к файлам двух американских гигантов. Достоверность данных взломов (а особенно последнего) всё ещё находится под сомнением, но сам по себе инцидент нелицеприятный. И вот почему.

Смотрите, что нужно киберпреступникам? Как и всегда — выкуп. Хакеры из LockBit, получив доступ к чертежам SpaceX через его подрядчика Maximum Industries, смогли выкрасть порядка 3000 чертежей космической техники компании Маска. Если SpaceX не выплатит определенную сумму денег, то все украденные данные будут обнародованы.

А данные могут быть весьма интересные, так, в чертежах могут содержаться концептуальные и технические решения по многоразовым ракетам Falcon или, что ещё интереснее, по глобальному спутниковому интернету Starlink — во многом стратегической американской разработки. Подобная информация будет интересна прежде всего Роскосмосу и Министерству Обороны, но и другие страны, такие как Китай и Иран, могут также узнать много нового для своих космических программ.

Окей, а в чём проблема? Хакеры, хоть и ради наживы, но добыли кучу полезной информации для своей страны. Есть, скажем так, нюанс.

Взлом было сделан публично и без прикрытия. LockBit открыто стали угрожать SpaceX. Обычное поведение преступников? Да, во многом, вот только здесь стоит сделать акцент на их государственную, скажем так, принадлежность. Отношение Запада к России понятно, и это в общем сказывается на отношении и западного бизнеса. Тем более крупного бизнеса, который с 24 февраля прошлого года занял антироссийскую позицию.

SpaceX — одно из немногих исключений. Ни одного публичного осуждения действий РФ на Украине от компании или от её основателя не последовало, а поставки оборудования Starlink носят скорее вынужденный характер и были сделаны под давлением Пентагона, а не по инициативе Маска. Это мнение подтверждается многочисленными скандалами, связанными с работой Старлинка. От банальных перебоев в работе интернета, до публичных заявлений о прекращении безвозмездного обслуживания системы и запрета использования Старлинка для связи беспилотников ВСУ. Даже не беря в расчёт довольно пророссийскую риторику Илона, вышеуказанные мероприятия так или иначе идут на пользу России.

И что же в этой ситуации делают хакеры? Правильно, начинают высмеивать и шантажировать Маска прямо в соцсетях. Я уже не говорю о том, что они даже не попытались скрыть страну, которая крышует их деятельность. Зачем создавать своей стране ещё одного врага — загадка. Это абсолютно безответственная и идиотская акция, которая может привести к большим проблемам для ребят на реальной, а не виртуальной линии фронта, тем более реальный выхлоп от неё может оказаться не таким уж и существенным.

Хакеры LockBit хоть и могли в результате взлома принести какую-то пользу России, но во-первых это не было их самоцелью (потому что на первом месте всегда стоят деньги), а во-вторых это сделано настолько отвратительно, что скорее навредит России и её репутации. Да, взломать главную компанию богатейшего человека Земли, получить доступ к чертежам американских ракет, спутников и шантажировать его на весь интернет, это конечно круто. Вот только это — поведение импульсивного и, скажем прямо, неумного подростка, который не отдаёт отчёт своим действиям. Последствия подобных акций могут быть колоссальным, правда основную их тяжесть будут нести не преступники.

Российские государственные агентства много сами писали про "космос без политики". Так может стоит быть последовательными?

#3side_безполитики

Дырявое железо от Samsung.

Эксперты Google нашли 18 уязвимостей в чипсетах Samsung. Они используются в смартфонах с Android и автомобилях.

Google Project Zero (команда, специализирующаяся на поисках 0-day уязвимостей) обнаружила целый набор проблем с чипсетами Samsung Exynos. Всего 18 уязвимостей, из которых 4 действительно критичные: они позволяют выполнить любой произвольный код и сделать это удаленно. А теперь самое смешное. Знаете, что для этого нужно? Знать номер телефона устройства. И все. Доступ к сети провайдера? Не нужен. Взаимодействие с пользователем? Аналогично.

С автомобилями история интереснее — там не до конца понятен масштаб проблемы, но потенциально такая уязвимость пугает, особенно в случае с современными авто, где бортовой компьютер может очень и очень многое. По сути, перед нами если не ультимативное оружие вроде Pegasus, то потенциальный способ улучшения эффективности подобного ПО.

А теперь про тех, кто в зоне риска: это серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04 от Samsung, Pixel от Google 6 и 7 и ряд телефонов Vivo, и автомобили с использующие данный чип. Картинка так себе… Фактически, быстро обеспечить закрытие уязвимостей на всех устройствах будет практически невозможно. Хоть патчи производителям уже разосланы, но, как всегда, внедрят они их далеко не сразу. А на старые модели телефонов патч может и вовсе не прийти. На данный момент запатчены только смартфоны Pixel.
В качестве временного решения Samsung рекомендует пользователям отключить Wi-Fi- вызовы и VoLTE и ждать обновлений.

Таков Андроид, мы уже не раз писали, что экосистема открытая, а значит быстрая реакция и закрытие уязвимостей – невозможны. А когда дело касается железа – становятся уязвимы все устройства, вне зависимости от модификации ОС. Андроид по умолчанию уязвимее!

Мошенник: "Стреляй , но не по людям, стреляй вверх!"

Шестой подтвержденный случай преступления по указке телефонного мошенника.
72-летний пенсионер был уверен, что участвует в спецоперации и помогает висящему на проводе "капитану полиции" разоблачить сотрудников Сбербанка. Сотрудников Московского отделения на Неманском проезде манипулятор обвинил в сливе данных пенсионера и других клиентов из банка. Когда мужчина пришел в отделение и сел у окна, "капитан" приказал стрелять в воздух из пистолета. По информации СМИ пистолет, к счастью, оказался пневматическим.
Пенсионера скрутил другой посетитель и передал настоящим полицейским.

Видимо злоумышленникам из колл-центра очень нужен был резонанс, выстрел мог помочь, как и поджоги ранее. Но манипулятор понимал, что в человека выстрелить пенсионер скорее всего не сможет.

Аппетиты злоумышленников растут. Мы уже неоднократно писали про предыдущие 5 подтверждённых случаев склонению к преступлениям. И писали памятку, как этому стоит противостоять. Пока люди не будут бросать трубку, они будут звонить и подобные случаи будут происходить.

Хотите помочь в борьбе? Расскажите об их деятельности или перешлите памятку "Бросай трубку!".

В ближайшую субботу будем рассказывать про кибербезопасность, а первую очередь для стартапов у наших друзей из МодельМира.

Поговорим о том, как правильно определять угрозы, выбирать подрядчиков, как устроен рынок ИБ в России и в других странах, как правильно управлять рисками и о многом другом.

Еще можно будет пообщаться с нами и позадавать вопросы. В общем, приходите (вход бесплатный, регистрация через бота по ссылке, адрес после регистрации, приносить с собой еду и напитки приветствуется). Город - Москва, начало - в 7 вечера.

Управление перспективных исследовательских проектов Министерства обороны США (DARPA) купила за $3,250,759.00(!) халтурненький отчет о Российском кибербезе. Собран он лишь из открытых источников публикаций, Линкедина, телеграм-каналов, сайтов орагнизаций и конференций.
Часть информации устаревшая (Катя привет!).

Было забавно увидеть в этом отчете фамилии и имена кучи моих друзей и знакомых!
Жаль 3side слишком молод, чтоб его заметили "исследователи" из США(
Видимо бюджета на нас не хватило!

С самим 120-страничным отчетом можете ознакомиться по ссылке.

Восстановление замазанной/обрезанной части изображения

Внимание, это НЕ шутка, хоть пост и выходит 1 апреля.

Если вы пользуетесь не обновлённым смартфоном Google Pixel или стандартным приложением Snipping Tool в Windows 11 любой версии для обрезки и замазывания изображения, то у нас для вас плохие новости.

Есть шанс, что ваше редактирование можно «отменить». В случае если картинка и замазана, и обрезана шанс довольно высок. Проблема в том, что фоторедакторы особым образом перезаписывают изображение при изменении, и у них остается «лишнее место» в конце картинки.

Например, если мы картинку обрезали, то у нас остается лишнее место в конце файла. Или если мы замазали одним цветом, то картинка лучше сожмется и тоже появится лишнее место. А эту лишнюю часть фоторедактор не перезаписывает, где может остаться тот самый обрезанный или замазанный кусок. Который можно легко вернуть. Уже даже есть бесплатный инструмент, который позволяет это попробовать сделать на любых файлах, работает если они были редактированы на Pixel.

Для Pixel эта уязвимость получила название - Acropalypse (CVE-2023-21036), она уже закрыта в мартовском обновлении.
Для Snipping Tool в Windows 11 – уязвимость еще не исправлена.

Рекомендации по безопасному скрытию информации на изображениях:
- Если у вас Pixel – обновите его.
- Не пользуйтесь. стандартной утилитой Snipping Tool в Windows 11. Есть множество иных и более удобных приложений.
- Используйте только 100% непрозрачную заливку при замазывании/закрашивании.
- Никакой «пикселизации» и «размытия» — это обратимо.

Об оценке уязвимостей

Для коллег в ИБ.

Специалисты по информационной безопасности уже много лет назад приняли оценку Common Vulnerability Scoring System(CVSS) фактически за стандарт. Выглядит она как вектор, например, для последней версии (3.1) стандарта вот так:

Base Score:9.8 CRITICAL - Критическая уязвимость с базовой оценкой 9.8 из 10.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – ее описывающий вектор.

Расшифровка:
Attack Vector: Network – эксплуатация возможна по сети.
Attack Complexity: Low – сложность эксплуатации низка.
Privileges Required: None – никаких привилегий не нужно.
User Interaction: None – никакого взаимодействия с пользователем не нужно.
Scope: Unchanged – затрагивает только сам уязвимый хост.
Confidentiality: High – высокое влияние на конфиденциальность.
Integrity: High – высокое влияние на целостность.
Availability: High – высокое влияние на доступность.

А в описании уязвимости (CVE-2023-23415), которую я и привел в пример, написано, что она позволяет выполнить код в Windows через протокол ICMP. Выглядит как что-то невероятно разрушительное и опасное, верно?
Но что оценка не учитывает? Условия.
• Не должно быть установлено последнее обновление Windows, это в целом очевидно для любой закрытой уязвимости.
• Уязвимость не работает на установленном Windows по умолчанию.
• Уязвимость требует, чтобы какое-либо уязвимое приложение приложение прослушивало raw-сокеты, и именно туда нужно слать специально сформированный ICMP-пакет, чтоб сработала уязвимость. Это у единиц.
• Само приложение, указанное в пункте выше, обязательно должно быть запущено с правами администратора.
• Входящий ICMP траффик должен быть разрешен на Windows Firewall.
• У злоумышленников должен быть эксплойт на выполнение кода, в публичном доступе которого нет.

В результате чего мы понимаем, чтоб эта страшная по оценке уязвимость была действительно страшная, необходим целый ряд специфичных условий. Оценка это не учитывает, в этом и проблема. Поэтому не ориентируйтесь только на цифры, читайте разборы.

Мы проводим стрим "Колл-центры "службы безопасности" и где они обитают" для наших старых друзей из CatNews.

Это тот же доклад, который рассказывали в Failover Bar, кто его не слышал, но кому интересно, добро пожаловать!

Задавайте вопросы в чате стрима на YouTube-канале cat_cat.

https://www.youtube.com/watch?v=DpBpDvDfaZ8


UPD. Стрим завершен, запись осталась на канале.

IDOR-уязвимость в приложении Росреестра

Еще вчера несколько уважаемых каналов по кибербезопасности сообщили, что в API мобильного приложения Росреестра (mobile.rosreestr.ru) обнаружена уязвимость, позволяющая выгрузить по кадастровому номеру недвижимости следующую информацию:
- ФИО владельца.
- Дату рождения.
- Адрес.
- СНИЛС.
- Паспортные данные.
- Кадастровую стоимость.
- Дату регистрации права собственности.

Для этого необходимо лишь отправить кадастровый номер в определенном запросе, аутентификация для этого не требуется.

Судя по информации каналов, обнаруживший уязвимость исследователь сообщил о ней в Росреестр, но реакции не последовало.

К сожалению, редакция канала получает все больше подтверждений о правдивости данной новости. Надеемся огласка приведет к скорейшему ее закрытию.