Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 6: ЧТО ДИМА СЛОМАЛ, ПОКА ЧИНИЛ
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
❤10👍6🔥6🤡2
В мире ИБ тонна новостей, но где экспертиза? Собрали майский топ Telegram-каналов: от DDoS-разборов до compliance по 152-ФЗ. Владельцы — подкастеры, консультанты с реальным опытом.
Твоя ИБ-папка
Экономь время: одна ссылка — и ты в теме.
👋 👋 👉
➡️ [Майский ТОП-ИБ каналов]
Твоя ИБ-папка
Экономь время: одна ссылка — и ты в теме.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥3👍2
Мы уже давно пишем, что "школьник с нейронкой" - стало новым кусочком модели угроз. ИИ ускоряет и удешевляет атаки, включая процессы создания вредоносного ПО.
ИИ-решения работаю и на щит, и на меч. Они усиливают ИБ, но и снижают порог входа для злоумышленников. Сейчас активно хайпует и Claude Mythos, говорят он уже находит уязвимости как багхантер, но хотелось бы его более публичного теста.
А что в России? Зрелая часть российского бизнеса старается действовать на опережение
Кто например? Т-Банк! Они первые в России собрали атакующий искусственный интеллект нацелили на собственную инфраструктуру.
Называется этот ИИ Nulla — это их внутренняя разработка. Работает по принципу группы интеллектуальных агентов.
Они рассказали на ЦИПР, что агенты адаптируются к механизмам защиты на лету,к тому же находит нарушения логики доступа и выстраивает сложные цепочки взаимодействия между сервисами.
ИИшный BAS - имитация действий квалифицированного злоумышленника.
А что это дало?
Скорость проверки одного сервиса сократилась с 2-3 дней ручного труда до 45 минут работы агента.
Всего в рамках пилота они прогнали через стресс-тест около 1300 платформ — от Т-Бизнеса до Т-Авто.
Т-Банк ожидает, что Nulla сэкономит им около 100 млн рублей до конца года. Это оценка по сэкономленым выплатам по Bugbounty.
Вывод?
Если уже хоть как-то работают атакующие ИИ-модели, пора защищаться зеркально, а не старыми инструментами.
Посмотрим, куда Т-Банк пойдет дальше! Полностью автоматизированный ИИ-SOC?
ИИ-решения работаю и на щит, и на меч. Они усиливают ИБ, но и снижают порог входа для злоумышленников. Сейчас активно хайпует и Claude Mythos, говорят он уже находит уязвимости как багхантер, но хотелось бы его более публичного теста.
А что в России? Зрелая часть российского бизнеса старается действовать на опережение
Кто например? Т-Банк! Они первые в России собрали атакующий искусственный интеллект нацелили на собственную инфраструктуру.
Называется этот ИИ Nulla — это их внутренняя разработка. Работает по принципу группы интеллектуальных агентов.
Они рассказали на ЦИПР, что агенты адаптируются к механизмам защиты на лету,к тому же находит нарушения логики доступа и выстраивает сложные цепочки взаимодействия между сервисами.
ИИшный BAS - имитация действий квалифицированного злоумышленника.
А что это дало?
Скорость проверки одного сервиса сократилась с 2-3 дней ручного труда до 45 минут работы агента.
Всего в рамках пилота они прогнали через стресс-тест около 1300 платформ — от Т-Бизнеса до Т-Авто.
Т-Банк ожидает, что Nulla сэкономит им около 100 млн рублей до конца года. Это оценка по сэкономленым выплатам по Bugbounty.
Вывод?
Если уже хоть как-то работают атакующие ИИ-модели, пора защищаться зеркально, а не старыми инструментами.
Посмотрим, куда Т-Банк пойдет дальше! Полностью автоматизированный ИИ-SOC?
🔥20🤔7👎3❤2
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 7: ФИНАЛ
Серия 7 из 8. Предпоследняя.
Коля уходит. Говорит последнее.
«Мы закрыли дыру, через которую вошли. Обновили VPN, поставили нормальные пароли, настроили мониторинг. Базовые процессы работают.
Но вот что важно.
Когда взломали, вы думали: "Главное — восстановиться. Потом разберёмся с защитой". Почти все так думают.
Вы восстановились. Теперь "потом". Если не сделать защиту нормально — вас зашифруют снова. Те же люди или другие — неважно. Дыра была серьёзная, значит вы попали в базы как "платёжеспособная мишень".
Это не страшилка. Статистика: больше половины компаний после шифрования без нормального расследования получают повторную атаку в течение 6–12 месяцев».
Михаил Борисович слушает.
«Сколько стоит нормальная защита?» — спрашивает он.
Коля пожимает плечами.
«Для компании вашего размера — копейки в месяц. Есть один сервис, который сканирует инфраструктуру и сигналит, когда находит дыры. Я с этими ребятами работаю — езжу к их клиентам, когда случается что-то серьёзное. Вот через них вы бы нашли меня не на четырнадцатый день. А на первый».
Михаил Борисович вспоминает 7 миллионов.
Потом вспоминает мастера с Авито, большую компанию с КП на 4,6 миллиона, Диму с его умным видом.
«Всего этого можно было не допустить», — добавляет Коля. — «Та дыра в VPN светилась бы как маяк при любом нормальном сканировании. Три месяца назад. До того, как хакеры её нашли».
Михаил Борисович молча кивает.
Дима в углу делает вид, что смотрит в ноутбук.
На экране у Димы открыт hh.ru.
Антон тоже в углу. У него в блокноте теперь две колонки: «вернулись» и «ушли».
В колонке «ушли» — девять строк. Среди них «Премиумбетон» с его 12 миллионами в год.
Антон считает. Даже если все из «вернулись» восстановят заказы — дыра в плане продаж на этот квартал уже не закрывается.
На годовой план Антон смотреть не стал.
━━━━━━━━━━
Счётчик потерь. Итог. День 16:
— Простой (14 дней до запуска): ~7 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽
— Клиентов, ушедших к конкурентам: 9 (из них 1 партнёр на 12 млн/год)
— Данные восстановлены: нет (4 месяца — в никуда)
— Виновные найдены: технически да, юридически — удачи
— Дима: продолжает работать. Ему подняли зарплату «за кризисное управление».
— Итого прямых потерь: ~7 400 000 ₽
— Итого потерь с учётом ушедших клиентов: считайте сами
Для справки: нормальная защита стоила бы ~50 000 ₽/мес.
Это 148 месяцев защиты. Или 12 лет.
━━━━━━━━━━
Серия 8 — в четверг.
Эпилог: что было бы, если Коля не нашёлся.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
6 Серия
Серия 7 из 8. Предпоследняя.
Коля уходит. Говорит последнее.
«Мы закрыли дыру, через которую вошли. Обновили VPN, поставили нормальные пароли, настроили мониторинг. Базовые процессы работают.
Но вот что важно.
Когда взломали, вы думали: "Главное — восстановиться. Потом разберёмся с защитой". Почти все так думают.
Вы восстановились. Теперь "потом". Если не сделать защиту нормально — вас зашифруют снова. Те же люди или другие — неважно. Дыра была серьёзная, значит вы попали в базы как "платёжеспособная мишень".
Это не страшилка. Статистика: больше половины компаний после шифрования без нормального расследования получают повторную атаку в течение 6–12 месяцев».
Михаил Борисович слушает.
«Сколько стоит нормальная защита?» — спрашивает он.
Коля пожимает плечами.
«Для компании вашего размера — копейки в месяц. Есть один сервис, который сканирует инфраструктуру и сигналит, когда находит дыры. Я с этими ребятами работаю — езжу к их клиентам, когда случается что-то серьёзное. Вот через них вы бы нашли меня не на четырнадцатый день. А на первый».
Михаил Борисович вспоминает 7 миллионов.
Потом вспоминает мастера с Авито, большую компанию с КП на 4,6 миллиона, Диму с его умным видом.
«Всего этого можно было не допустить», — добавляет Коля. — «Та дыра в VPN светилась бы как маяк при любом нормальном сканировании. Три месяца назад. До того, как хакеры её нашли».
Михаил Борисович молча кивает.
Дима в углу делает вид, что смотрит в ноутбук.
На экране у Димы открыт hh.ru.
Антон тоже в углу. У него в блокноте теперь две колонки: «вернулись» и «ушли».
В колонке «ушли» — девять строк. Среди них «Премиумбетон» с его 12 миллионами в год.
Антон считает. Даже если все из «вернулись» восстановят заказы — дыра в плане продаж на этот квартал уже не закрывается.
На годовой план Антон смотреть не стал.
━━━━━━━━━━
Счётчик потерь. Итог. День 16:
— Простой (14 дней до запуска): ~7 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽
— Клиентов, ушедших к конкурентам: 9 (из них 1 партнёр на 12 млн/год)
— Данные восстановлены: нет (4 месяца — в никуда)
— Виновные найдены: технически да, юридически — удачи
— Дима: продолжает работать. Ему подняли зарплату «за кризисное управление».
— Итого прямых потерь: ~7 400 000 ₽
— Итого потерь с учётом ушедших клиентов: считайте сами
Для справки: нормальная защита стоила бы ~50 000 ₽/мес.
Это 148 месяцев защиты. Или 12 лет.
━━━━━━━━━━
Серия 8 — в четверг.
Эпилог: что было бы, если Коля не нашёлся.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
6 Серия
🔥12🤡8👍5❤1
Про защиту МСП на Время Цифры
Всем привет, приходите на Время Цифры, там на панельной сессии «Безопасность как ценность бизнеса» я кратко расскажу свой доклад «Из ИБ-бюджета только кот: как МСБ строить защиту в 2026 году».
Поговорим о том, как вообще строить защиту без бюджета или с минимальными бюджетами. Ведь сейчас любому бизнесу это крайне актуально!
Когда: 27.05 (среда)
Где: Москва, Центр событий РБК
Всем привет, приходите на Время Цифры, там на панельной сессии «Безопасность как ценность бизнеса» я кратко расскажу свой доклад «Из ИБ-бюджета только кот: как МСБ строить защиту в 2026 году».
Поговорим о том, как вообще строить защиту без бюджета или с минимальными бюджетами. Ведь сейчас любому бизнесу это крайне актуально!
Когда: 27.05 (среда)
Где: Москва, Центр событий РБК
forum.digital-leaders.online
Форум «Время цифры» 2026 — первый в России тихий форум
Приглашаем на форум «Время цифры» 2026! Обсуждение AI, метамаркетинга, HR Tech и цифровой трансформации. Регистрация открыта. Участвуйте в премии Digital Leaders/Лидеры цифровизации
👍7❤3🔥3
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 8: ДРУГАЯ ИСТОРИЯ
Серия 8 из 8.
«Три Богатыря» нашли Колю. По счастливой случайности. Потому что Михаил Борисович позвонил школьному другу в нужный момент.
Но большинству не везёт так.
Вот другая версия этой истории.
Коля не находится. Мастер с Авито берёт деньги и пропадает. Большая компания присылает КП на 4,6 миллиона. Михаил Борисович не может столько потратить.
Они восстанавливаются сами. Медленно. Из обрывков. Нанимают фрилансера, который «поднимает» систему. Закрывают ли дыру — никто не знает. Дима говорит, что закрыл. Михаил Борисович верит.
А Антон в это время дозванивается до клиентов.
Неделя третья. Большинство уже не берут трубку — нашли других поставщиков, перестраивать логистику обратно дорого и незачем. «Премиумбетон» прислал официальное письмо о прекращении сотрудничества. Не звонок, не мессенджер — письмо. На бланке. С подписью директора.
Антон распечатал его и положил на стол Михаилу Борисовичу.
Михаил Борисович прочитал. Убрал в ящик. Ничего не сказал.
Антон вернулся к себе. Открыл таблицу с планом продаж на год. Долго смотрел. Закрыл.
На четвёртой неделе Антон написал заявление на увольнение.
Не потому что плохой сотрудник. А потому что продавать нечего — половина клиентской базы ушла, кредитная линия закрыта, новых контрактов не подписать без нормальной инфраструктуры. Антон это понял раньше Михаила Борисовича.
Через 6 недель — повторное шифрование. Дыру так и не закрыли.
На этот раз в офисе почти никого нет. Антона нет. Двух менеджеров нет. Людмила Семёновна сидит одна и смотрит на знакомый чёрный экран.
«Снова», — говорит она себе тихо.
На этот раз денег на восстановление уже нет. Один из трёх учредителей требует вернуть вложения.
Через 4 месяца — ликвидация.
Не потому что взломали. А потому что не было никого рядом в нужный момент. И потому что Антон ушёл первым — он просто раньше всех понял, куда это идёт.
Дима, кстати, в этой версии тоже нашёл новую работу. Айтишником. В другой компании.
————
Это была история об одной компании. Но это история тысяч компаний каждый год.
━━━━━━━━━━
Две версии одной истории. Счёт:
Версия А (нашли Колю):
Потери: ~7 400 000 ₽. Бизнес выжил.
Версия Б (не нашли):
Потери: ~15 000 000+ ₽. Ликвидация.
Разница между версиями: один звонок однокласснику.
Или один сервис мониторинга, который нашёл бы дыру за три месяца до взлома.
━━━━━━━━━━
Завтра — важный пост: что делать в первые 2 часа, если вас взломали.
Это не очевидно. И это реально спасает.
Начать с 1 серии.
Серия 8 из 8.
«Три Богатыря» нашли Колю. По счастливой случайности. Потому что Михаил Борисович позвонил школьному другу в нужный момент.
Но большинству не везёт так.
Вот другая версия этой истории.
Коля не находится. Мастер с Авито берёт деньги и пропадает. Большая компания присылает КП на 4,6 миллиона. Михаил Борисович не может столько потратить.
Они восстанавливаются сами. Медленно. Из обрывков. Нанимают фрилансера, который «поднимает» систему. Закрывают ли дыру — никто не знает. Дима говорит, что закрыл. Михаил Борисович верит.
А Антон в это время дозванивается до клиентов.
Неделя третья. Большинство уже не берут трубку — нашли других поставщиков, перестраивать логистику обратно дорого и незачем. «Премиумбетон» прислал официальное письмо о прекращении сотрудничества. Не звонок, не мессенджер — письмо. На бланке. С подписью директора.
Антон распечатал его и положил на стол Михаилу Борисовичу.
Михаил Борисович прочитал. Убрал в ящик. Ничего не сказал.
Антон вернулся к себе. Открыл таблицу с планом продаж на год. Долго смотрел. Закрыл.
На четвёртой неделе Антон написал заявление на увольнение.
Не потому что плохой сотрудник. А потому что продавать нечего — половина клиентской базы ушла, кредитная линия закрыта, новых контрактов не подписать без нормальной инфраструктуры. Антон это понял раньше Михаила Борисовича.
Через 6 недель — повторное шифрование. Дыру так и не закрыли.
На этот раз в офисе почти никого нет. Антона нет. Двух менеджеров нет. Людмила Семёновна сидит одна и смотрит на знакомый чёрный экран.
«Снова», — говорит она себе тихо.
На этот раз денег на восстановление уже нет. Один из трёх учредителей требует вернуть вложения.
Через 4 месяца — ликвидация.
Не потому что взломали. А потому что не было никого рядом в нужный момент. И потому что Антон ушёл первым — он просто раньше всех понял, куда это идёт.
Дима, кстати, в этой версии тоже нашёл новую работу. Айтишником. В другой компании.
————
Это была история об одной компании. Но это история тысяч компаний каждый год.
━━━━━━━━━━
Две версии одной истории. Счёт:
Версия А (нашли Колю):
Потери: ~7 400 000 ₽. Бизнес выжил.
Версия Б (не нашли):
Потери: ~15 000 000+ ₽. Ликвидация.
Разница между версиями: один звонок однокласснику.
Или один сервис мониторинга, который нашёл бы дыру за три месяца до взлома.
━━━━━━━━━━
Завтра — важный пост: что делать в первые 2 часа, если вас взломали.
Это не очевидно. И это реально спасает.
Начать с 1 серии.
🔥15👍8❤4👎1
Forwarded from Капитализм под защитой
ВАС ВЗЛОМАЛИ. У ВАС 2 ЧАСА. ЧТО ДЕЛАТЬ?
Запомните одно правило: чем меньше вы трогаете — тем больше шансов на расследование и восстановление.
Дима из «Трёх Богатырей» сделал всё неправильно. Не потому что плохой. А потому что никто не объяснил.
Объясняем.
━━━━━━━━━━━━
ЧТО ДЕЛАТЬ СРАЗУ
✅ Изолируйте заражённые машины от сети.
Вытащите сетевой кабель. Отключите WiFi. Не выключайте сами машины — в RAM может быть ключ дешифровки.
✅ Не запускайте антивирус и «очистку».
Антивирус уничтожит улики. Полезен он будет потом, не сейчас.
✅ Не перезагружайте серверы.
Перезагрузка стирает всё из памяти. Вирус может исчезнуть — вместе с данными для расследования.
✅ Сфотографируйте экраны с сообщением о выкупе.
Текст, адрес кошелька, контакты — всё. Это поможет идентифицировать вирус.
✅ Зафиксируйте время.
Когда обнаружили? Что делали до этого? Кто из сотрудников что открывал? Это хронология атаки.
━━━━━━━━━━━━
ЧТО НЕ ДЕЛАТЬ
❌ Не платить выкуп сразу. 30% компаний, заплативших — ничего не получили. Или получили, но вирус остался.
❌ Не искать «мастеров с Авито». Они не справятся с современными шифрами. Потратите время и деньги.
❌ Не восстанавливать систему без расследования. Не закрыв дыру — получите повторную атаку.
❌ Не молчать. Если у вас данные клиентов — по закону вы обязаны уведомить Роскомнадзор в течение 24 часов.
━━━━━━━━━━━━
ПОСЛЕ ПЕРВЫХ 2 ЧАСОВ
Звоните профессионалам. Не Диме. Не мастеру с Авито. Специалистам по реагированию на инциденты.
Их работа — приехать, сохранить улики, восстановить работу, найти как вошли, закрыть дыру.
Чем быстрее — тем больше шансов восстановить хоть что-то.
Завтра — как выбрать нормальных специалистов и сколько это должно стоить.
Запомните одно правило: чем меньше вы трогаете — тем больше шансов на расследование и восстановление.
Дима из «Трёх Богатырей» сделал всё неправильно. Не потому что плохой. А потому что никто не объяснил.
Объясняем.
━━━━━━━━━━━━
ЧТО ДЕЛАТЬ СРАЗУ
✅ Изолируйте заражённые машины от сети.
Вытащите сетевой кабель. Отключите WiFi. Не выключайте сами машины — в RAM может быть ключ дешифровки.
✅ Не запускайте антивирус и «очистку».
Антивирус уничтожит улики. Полезен он будет потом, не сейчас.
✅ Не перезагружайте серверы.
Перезагрузка стирает всё из памяти. Вирус может исчезнуть — вместе с данными для расследования.
✅ Сфотографируйте экраны с сообщением о выкупе.
Текст, адрес кошелька, контакты — всё. Это поможет идентифицировать вирус.
✅ Зафиксируйте время.
Когда обнаружили? Что делали до этого? Кто из сотрудников что открывал? Это хронология атаки.
━━━━━━━━━━━━
ЧТО НЕ ДЕЛАТЬ
━━━━━━━━━━━━
ПОСЛЕ ПЕРВЫХ 2 ЧАСОВ
Звоните профессионалам. Не Диме. Не мастеру с Авито. Специалистам по реагированию на инциденты.
Их работа — приехать, сохранить улики, восстановить работу, найти как вошли, закрыть дыру.
Чем быстрее — тем больше шансов восстановить хоть что-то.
Завтра — как выбрать нормальных специалистов и сколько это должно стоить.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍29❤8🔥5👎1
Forwarded from Капитализм под защитой
КАК МЫ ВОССТАНАВЛИВАЕМ КОМПАНИИ ЗА 48 ЧАСОВ
Без воды. По делу.
Мы — 4sec. Занимаемся реагированием на инциденты для малого и среднего бизнеса. Не для банков и госкорпораций. Именно для тех, у кого нет своего SOC, нет армии безопасников и нет бюджета на 6-недельный аудит.
Что мы делаем, когда вас взломали:
ПЕРВЫЕ 48 ЧАСОВ
— Приезжаем или подключаемся удалённо
— Останавливаем атаку если она ещё идёт
— Сохраняем улики для расследования
— Поднимаем критичные бизнес-процессы
Результат: вы работаете. Не идеально, но работаете.
СЛЕДУЮЩИЕ 2 НЕДЕЛИ
— Полное расследование: как вошли, что взяли, как долго сидели
— Восстановление данных (если есть хоть какие-то копии — найдём)
— Закрытие всех дыр, которые нашли
— Настройка мониторинга: если придут снова — сразу узнаете
Результат: понимаете что произошло. Это не повторится.
СКОЛЬКО ЭТО СТОИТ
Честно: зависит от масштаба. Для компании как «Три Богатыря» — от 300 до 500 тысяч рублей за полный цикл.
Для сравнения: один день простоя среднего МСБ — 300-700 тысяч упущенной выручки.
МЫ НЕ ОБЕЩАЕМ
— Восстановить данные без резервных копий. Шанс 5%, будем честны.
— Что расследование даст 100% ответ, если Дима уже всё почистил.
— Что будет дёшево. Нормальная работа стоит денег.
МЫ ОБЕЩАЕМ
— Приехать быстро. Не через неделю с КП на 4,6 миллиона.
— Говорить честно. Если не сможем — скажем сразу.
— Восстановить работу бизнеса в разумные сроки.
Если у вас произошло — пишите в личку прямо сейчас.
Если не произошло — проверьте себя бесплатно: 4security.ru
Без воды. По делу.
Мы — 4sec. Занимаемся реагированием на инциденты для малого и среднего бизнеса. Не для банков и госкорпораций. Именно для тех, у кого нет своего SOC, нет армии безопасников и нет бюджета на 6-недельный аудит.
Что мы делаем, когда вас взломали:
ПЕРВЫЕ 48 ЧАСОВ
— Приезжаем или подключаемся удалённо
— Останавливаем атаку если она ещё идёт
— Сохраняем улики для расследования
— Поднимаем критичные бизнес-процессы
Результат: вы работаете. Не идеально, но работаете.
СЛЕДУЮЩИЕ 2 НЕДЕЛИ
— Полное расследование: как вошли, что взяли, как долго сидели
— Восстановление данных (если есть хоть какие-то копии — найдём)
— Закрытие всех дыр, которые нашли
— Настройка мониторинга: если придут снова — сразу узнаете
Результат: понимаете что произошло. Это не повторится.
СКОЛЬКО ЭТО СТОИТ
Честно: зависит от масштаба. Для компании как «Три Богатыря» — от 300 до 500 тысяч рублей за полный цикл.
Для сравнения: один день простоя среднего МСБ — 300-700 тысяч упущенной выручки.
МЫ НЕ ОБЕЩАЕМ
— Восстановить данные без резервных копий. Шанс 5%, будем честны.
— Что расследование даст 100% ответ, если Дима уже всё почистил.
— Что будет дёшево. Нормальная работа стоит денег.
МЫ ОБЕЩАЕМ
— Приехать быстро. Не через неделю с КП на 4,6 миллиона.
— Говорить честно. Если не сможем — скажем сразу.
— Восстановить работу бизнеса в разумные сроки.
Если у вас произошло — пишите в личку прямо сейчас.
Если не произошло — проверьте себя бесплатно: 4security.ru
❤17👍16🔥6🤡4👎1
Блокировки vs MTProto противостояние продолжается
Ответы на частые вопросы нам в сообщениях
Что происходит с блокировками?
Классическая битва щита и меча. Совершенствуется DPI, определяющий протокол Телеграмма, за ним руками энтузиастов совершенствуется протокол MTProto, устраняющий уязвимости, позволяющие выделить именно этот протокол.
А может быть какой-то более радикальный ход по блокировкам?
Политически - их масса. Технически - сложнее. Но действительно сильный ход, который очень сильно ударит по клиентам - добиться удаления клиента Телеграмма из магазинов приложений!
К чему это приведет?
Отсутствию обновлений его у пользователей, а значит совершенствовать защиту Телеграмм более не сможет для новых пользователей.
А это возможно?
Да, у нас уже по требованию регуляторов из магазинов для российских пользователей удалены множественные заблокированные приложения. Например, LinkedIn и множественные приложения для обхода блокировок. То есть AppStore и Google Play активно сотрудничают с регулятором России и могут выполнить требование.
А если устанавливать из сторонних магазинов?
Это крайне опасно, даже из одного из старейших магазинов APKPure! Недавно именно в нем нашли загруженное приложение Телеграмма со шпионским модулем внутри. Хотя казалось бы сама суть магазина, что отражено в названии, чистейшие приложения из Google Play в виде apk файлов, но оказалось не так.
Для пользователей Айфонов же установить приложение сторонее во много раз сложнее и опаснее.
А что тогда придется делать?
Обновляться через учетные записи других (зарубежных) регионов, где будут публиковаться новые версии. Это единственный надежный и безопасный вариант. Но будут ли у всех такие записи?
Поэтому крайне надеемся, что до удаления из магазинов не дойдет.
P.s. Для Андроидов останется вариант качать напрямую с сайта Телеграмма.
Ответы на частые вопросы нам в сообщениях
Что происходит с блокировками?
Классическая битва щита и меча. Совершенствуется DPI, определяющий протокол Телеграмма, за ним руками энтузиастов совершенствуется протокол MTProto, устраняющий уязвимости, позволяющие выделить именно этот протокол.
А может быть какой-то более радикальный ход по блокировкам?
Политически - их масса. Технически - сложнее. Но действительно сильный ход, который очень сильно ударит по клиентам - добиться удаления клиента Телеграмма из магазинов приложений!
К чему это приведет?
Отсутствию обновлений его у пользователей, а значит совершенствовать защиту Телеграмм более не сможет для новых пользователей.
А это возможно?
Да, у нас уже по требованию регуляторов из магазинов для российских пользователей удалены множественные заблокированные приложения. Например, LinkedIn и множественные приложения для обхода блокировок. То есть AppStore и Google Play активно сотрудничают с регулятором России и могут выполнить требование.
А если устанавливать из сторонних магазинов?
Это крайне опасно, даже из одного из старейших магазинов APKPure! Недавно именно в нем нашли загруженное приложение Телеграмма со шпионским модулем внутри. Хотя казалось бы сама суть магазина, что отражено в названии, чистейшие приложения из Google Play в виде apk файлов, но оказалось не так.
Для пользователей Айфонов же установить приложение сторонее во много раз сложнее и опаснее.
А что тогда придется делать?
Обновляться через учетные записи других (зарубежных) регионов, где будут публиковаться новые версии. Это единственный надежный и безопасный вариант. Но будут ли у всех такие записи?
Поэтому крайне надеемся, что до удаления из магазинов не дойдет.
P.s. Для Андроидов останется вариант качать напрямую с сайта Телеграмма.
X (formerly Twitter)
Eric Parker (@EricParker) on X
PSA: APKPure is distributing a malicious copy of Telegram.
❤25🤔14🔥4🤡3🤯2👎1👨💻1
Иллюзия независимости и недостроенный цифровой суверенитет
Сейчас ни один сайт в интернете не может жить без сертификатов. Именно они - основной столп безопасности защищающий наши данные, ведь на них работает HTTPS.
Для небольших компаний и личных проектов с 2014 года было очень легко получить сертификат, его автоматизировано и бесплатно выдавала Некоммерческая Организация Internet Security Research Group (ISRG), своим сервисом Lets Encrypt!
У тебя есть сайт? Подтверди им владение и получи сертификат безопасности бесплатно.
ISRG - это НКО, организованная Фондом электронных рубежей (Electronic Frontier Foundation, EFF), Mozilla Foundation, Akamai и Cisco Systems. Уважаемые объединения и компании, некоммерческий статус и не менее уважаемые партнеры.
А когда в России начался тренд на цифровой суверенитет, особенно создание собственных центров сертификации, многие видели в этом попытку зарегулирования, контроля, но не защиту. Ведь есть независимые сервис и центр, зачем это нужно?
И вот на днях, случился прецедент. Lets Encrypt отозвал и более не выдает новые сертификаты для доменов
OPERATION ZERO - это единственная в России платформа по приобретению 0day-эксплоитов у исследователей. Заказчиками компании являются исключительно организации Российской Федерации и дружественных стран. Конечно же платформа под санкциями США по политическим мотивам, это буквально торговля кибероружием.
Но такие платформы есть во множестве стран, в самом США есть Zerodium, и у них проблем с санкциями и сертификатами конечно же нет.
У автора этого поста два предположения:
1. Представители США, где и расположена штаб квартира ISRG, попросили заблокировать доступ к сертификатам для OpZero. Они подчинились. Выглядит это далеко не независимо.
2. Представители США, запросили возможность контролировать выпуск сертификатов для доменов OpZero, контроль над сертификатами позволял бы им вскрывать шифрование и перехватывать данные всех посетителей сайта. ISRG, оценив репутационные риски, выбрали меньшее зло и заблокировали сертификаты и их выпуск.
Что дальше?
Доверие к сервису подорвано, любая компания может оказаться в немилости и потеряет свой сертификат. Одномоментно можно остановить работу большинства небольших сайтов РФ.
Есть ли бесплатные альтернативы не в юрисдикции США?
Нет, и главное в России такого внутреннего сервиса тоже нет!
А такой сервис однозначно нужен, к тому же нужно сделать так, чтоб он не был завязан на сертификат Минцифры РФ. Ведь это закроет доступ для всех зарубежных пользователей. Должен быть сертификат, который признают по всему миру.
С учетом политического контекста запускать этот сервис нужно было еще вчера, а в идеале до 2022 года. Это действительно был бы сильный шаг к суверенному Рунету.
А что теперь у OpZero?
Они выпустили платный сертификат от Global Sign, как долго он продержится? Делайте ваши ставки в опросе!
Сейчас ни один сайт в интернете не может жить без сертификатов. Именно они - основной столп безопасности защищающий наши данные, ведь на них работает HTTPS.
Для небольших компаний и личных проектов с 2014 года было очень легко получить сертификат, его автоматизировано и бесплатно выдавала Некоммерческая Организация Internet Security Research Group (ISRG), своим сервисом Lets Encrypt!
У тебя есть сайт? Подтверди им владение и получи сертификат безопасности бесплатно.
ISRG - это НКО, организованная Фондом электронных рубежей (Electronic Frontier Foundation, EFF), Mozilla Foundation, Akamai и Cisco Systems. Уважаемые объединения и компании, некоммерческий статус и не менее уважаемые партнеры.
А когда в России начался тренд на цифровой суверенитет, особенно создание собственных центров сертификации, многие видели в этом попытку зарегулирования, контроля, но не защиту. Ведь есть независимые сервис и центр, зачем это нужно?
И вот на днях, случился прецедент. Lets Encrypt отозвал и более не выдает новые сертификаты для доменов
opzero.ru и поддомена www.opzero.ru. Они просто отказались и поставили блок, такого не было ранее никогда. Даже в 2022 году сервис не лез в политику и выполнял свое главное обещание, о предоставлении сертификатов всем желающим во благо безопасности Интернета.OPERATION ZERO - это единственная в России платформа по приобретению 0day-эксплоитов у исследователей. Заказчиками компании являются исключительно организации Российской Федерации и дружественных стран. Конечно же платформа под санкциями США по политическим мотивам, это буквально торговля кибероружием.
Но такие платформы есть во множестве стран, в самом США есть Zerodium, и у них проблем с санкциями и сертификатами конечно же нет.
У автора этого поста два предположения:
1. Представители США, где и расположена штаб квартира ISRG, попросили заблокировать доступ к сертификатам для OpZero. Они подчинились. Выглядит это далеко не независимо.
2. Представители США, запросили возможность контролировать выпуск сертификатов для доменов OpZero, контроль над сертификатами позволял бы им вскрывать шифрование и перехватывать данные всех посетителей сайта. ISRG, оценив репутационные риски, выбрали меньшее зло и заблокировали сертификаты и их выпуск.
Что дальше?
Доверие к сервису подорвано, любая компания может оказаться в немилости и потеряет свой сертификат. Одномоментно можно остановить работу большинства небольших сайтов РФ.
Есть ли бесплатные альтернативы не в юрисдикции США?
Нет, и главное в России такого внутреннего сервиса тоже нет!
А такой сервис однозначно нужен, к тому же нужно сделать так, чтоб он не был завязан на сертификат Минцифры РФ. Ведь это закроет доступ для всех зарубежных пользователей. Должен быть сертификат, который признают по всему миру.
С учетом политического контекста запускать этот сервис нужно было еще вчера, а в идеале до 2022 года. Это действительно был бы сильный шаг к суверенному Рунету.
А что теперь у OpZero?
Они выпустили платный сертификат от Global Sign, как долго он продержится? Делайте ваши ставки в опросе!
❤27🤔18🔥6🤣1👨💻1
Отзовет ли GlobalSign (Бельгия) свой сертификат?
Anonymous Poll
13%
Нет, этож не США
12%
Да, за неделю управятся
16%
Да, за месяц успеют
20%
Да, но уйдет больше времени
39%
Я буду следить только, несите попкорн!
«Синего кита» создали СМИ
Разбор старого интернет-мифа
История «групп смерти» — это классический пример моральной паники, когда общество само придумало страшную сказку, а подростки начали в неё играть.
Многие до сих пор уверены, что существовала тайная международная организация, планомерно убивавшая детей через квесты. Расследования и антропологические исследования доказали: изначально этого феномена не существовало. Его создали журналисты, а дети подхватили волну из-за шумихи.
Вот как фантом стал реальностью
1. Как рождался миф: театр одного актера
До того как стать «смертельным квестом», группы в соцсетях были просто подростковой игрой в альтернативную реальность (ARG). Админы вдохновлялись мрачной эстетикой, шифрами и мемами.
Внутри этих закрытых пабликов создавалась иллюзия массовости. Вскрылся показательный факт: администраторы (часто такие же подростки) общались сами с собой. Одна и та же девушка или парень регистрировали десятки фейковых аккаунтов. В закрытых чатах они разыгрывали спектакли: с одного профиля «жертва» умоляла о помощи, со второго «куратор» отдавал зловещие приказы, а с третьего писали: *«Она прыгнула, её больше нет»*.
Цель? Банальный хайп, нагон подписчиков для продажи рекламы и желание авторов почувствовать себя «вершителями судеб».
2. Хронология: как фантом материализовался
* Шаг 1. Искажение информации. В массовой прессе выходит громкое расследование. Автор связывает в одну цепочку реальные трагедии подростков и их пребывание в депрессивных пабликах. Причинно-следственная связь ломается: паблики были лишь *симптомом* подростковых проблем, но их объявили *причиной*.
* Шаг 2. Запуск медиавируса. Новость подхватывают тысячи ресурсов и ТВ. Появляются «расстрельные списки из 50 заданий» (которые журналисты буквально по кусочкам собрали из разных сетевых шуток и крипипаст). Школы и родительские чаты взрываются паникой.
* Шаг 3. Включение остенсии. В фольклористике и социологии термином остенсия называют процесс, когда люди начинают воплощать в реальной жизни сюжеты из городских легенд, слухов или мифов. Именно это и произошло: подростки из новостей узнали, что появился новый «запретный и романтичный» способ закричать о своих проблемах или проверить себя «на слабо», и начали массово ставить хештеги игры.
* Шаг 4. Появление реальных кураторов. Сетевые тролли и неадекватные пользователи, начитавшись инструкций в СМИ, регистрируют профили и начинают писать детям, со знанием дела требуя выполнять те самые «50 заданий».
Вывод
Общество само написало сценарий игры, детально пропиарило его на всю страну, а дети и тролли просто начали играть по предложенным правилам.
«Синий кит» стал удобной ширмой. Вместо глубокой работы с реальными проблемами подростков (депрессия, домашнее насилие, буллинг), взрослым было проще обвинить «таинственных интернетовских кураторов». Как только хайп в медиа утих, а соцсети заблокировали хештеги — фантом исчез так же быстро, как и появился.
P.S. Одна известная Российская ИБ-компания очень активно пиарилась на этом, и устраивала расследования разгоняя медиа-вирус. Мы написали об этом просто потому, что оказывается, многие им поверили и верят до сих пор. И пора уже расставить все точки.
Разбор старого интернет-мифа
История «групп смерти» — это классический пример моральной паники, когда общество само придумало страшную сказку, а подростки начали в неё играть.
Многие до сих пор уверены, что существовала тайная международная организация, планомерно убивавшая детей через квесты. Расследования и антропологические исследования доказали: изначально этого феномена не существовало. Его создали журналисты, а дети подхватили волну из-за шумихи.
Вот как фантом стал реальностью
1. Как рождался миф: театр одного актера
До того как стать «смертельным квестом», группы в соцсетях были просто подростковой игрой в альтернативную реальность (ARG). Админы вдохновлялись мрачной эстетикой, шифрами и мемами.
Внутри этих закрытых пабликов создавалась иллюзия массовости. Вскрылся показательный факт: администраторы (часто такие же подростки) общались сами с собой. Одна и та же девушка или парень регистрировали десятки фейковых аккаунтов. В закрытых чатах они разыгрывали спектакли: с одного профиля «жертва» умоляла о помощи, со второго «куратор» отдавал зловещие приказы, а с третьего писали: *«Она прыгнула, её больше нет»*.
Цель? Банальный хайп, нагон подписчиков для продажи рекламы и желание авторов почувствовать себя «вершителями судеб».
2. Хронология: как фантом материализовался
* Шаг 1. Искажение информации. В массовой прессе выходит громкое расследование. Автор связывает в одну цепочку реальные трагедии подростков и их пребывание в депрессивных пабликах. Причинно-следственная связь ломается: паблики были лишь *симптомом* подростковых проблем, но их объявили *причиной*.
* Шаг 2. Запуск медиавируса. Новость подхватывают тысячи ресурсов и ТВ. Появляются «расстрельные списки из 50 заданий» (которые журналисты буквально по кусочкам собрали из разных сетевых шуток и крипипаст). Школы и родительские чаты взрываются паникой.
* Шаг 3. Включение остенсии. В фольклористике и социологии термином остенсия называют процесс, когда люди начинают воплощать в реальной жизни сюжеты из городских легенд, слухов или мифов. Именно это и произошло: подростки из новостей узнали, что появился новый «запретный и романтичный» способ закричать о своих проблемах или проверить себя «на слабо», и начали массово ставить хештеги игры.
* Шаг 4. Появление реальных кураторов. Сетевые тролли и неадекватные пользователи, начитавшись инструкций в СМИ, регистрируют профили и начинают писать детям, со знанием дела требуя выполнять те самые «50 заданий».
Вывод
Общество само написало сценарий игры, детально пропиарило его на всю страну, а дети и тролли просто начали играть по предложенным правилам.
«Синий кит» стал удобной ширмой. Вместо глубокой работы с реальными проблемами подростков (депрессия, домашнее насилие, буллинг), взрослым было проще обвинить «таинственных интернетовских кураторов». Как только хайп в медиа утих, а соцсети заблокировали хештеги — фантом исчез так же быстро, как и появился.
P.S. Одна известная Российская ИБ-компания очень активно пиарилась на этом, и устраивала расследования разгоняя медиа-вирус. Мы написали об этом просто потому, что оказывается, многие им поверили и верят до сих пор. И пора уже расставить все точки.
🔥48🤔13❤4👎4👏4🤯3🤡3
3side кибербезопасности
Отзовет ли GlobalSign (Бельгия) свой сертификат?
GlobalSign отозвали сертификат!
Но не у OpZero, а у мессенджера MAX.
Мессенджер сразу же выпустил новый через Let's Encrypt.
Интересно, а его аналогично отзовут и запретят выпуск новых?
Кажется отзыв "санкционных" сертификатов становится системным, о чем мы и писали ранее.
Но не у OpZero, а у мессенджера MAX.
Мессенджер сразу же выпустил новый через Let's Encrypt.
Интересно, а его аналогично отзовут и запретят выпуск новых?
Кажется отзыв "санкционных" сертификатов становится системным, о чем мы и писали ранее.
😁62❤9🔥8🤔6👨💻4🤣1
Про noname специалистов по информационной безопасности
Тут пишут, что взломали очередного бота для постинга. На этот раз в Махе, но в ТГ такие истории тоже происходили, и достаточно регулярно. Сам взлом не очень интересен, интересно другое.
Владелец (видимо) бота утверждал, что он проаудирован "ведущими специалистами по ИБ". И вот тут сразу возникает проблема — сама фраза "что-то кем-то проаудировано" вообще не говорит о защищенности чего бы то ни было.
Во-первых — никакого аудита могло и не быть вовсе. Просто написали "мы думаем про кибербез", и все. Так бывает, видели такое многократно (часто когда заходили уже с форензикой).
Во-вторых, там вполне могли быть совершенно нормальные, компетентные специалисты. Но два релиза назад, да.
В-третьих, мы не знаем, как вообще была совершена атака. Возможно там уязвимость не "технического" характера. Но повторюсь, мы этого не знаем.
И вот мы все это к чему. Надпись "мы занимаемся ИБ" — это примерно как "злобный хакер, уходи". Ну то есть работает как маркетинг, но если что-то случится, выглядеть будет плохо. Мораль: занимайтесь кибербезом должным образом. Это не так дорого, иногда совсем недорого. Главное — не обманывайте своих клиентов.
Тут пишут, что взломали очередного бота для постинга. На этот раз в Махе, но в ТГ такие истории тоже происходили, и достаточно регулярно. Сам взлом не очень интересен, интересно другое.
Владелец (видимо) бота утверждал, что он проаудирован "ведущими специалистами по ИБ". И вот тут сразу возникает проблема — сама фраза "что-то кем-то проаудировано" вообще не говорит о защищенности чего бы то ни было.
Во-первых — никакого аудита могло и не быть вовсе. Просто написали "мы думаем про кибербез", и все. Так бывает, видели такое многократно (часто когда заходили уже с форензикой).
Во-вторых, там вполне могли быть совершенно нормальные, компетентные специалисты. Но два релиза назад, да.
В-третьих, мы не знаем, как вообще была совершена атака. Возможно там уязвимость не "технического" характера. Но повторюсь, мы этого не знаем.
И вот мы все это к чему. Надпись "мы занимаемся ИБ" — это примерно как "злобный хакер, уходи". Ну то есть работает как маркетинг, но если что-то случится, выглядеть будет плохо. Мораль: занимайтесь кибербезом должным образом. Это не так дорого, иногда совсем недорого. Главное — не обманывайте своих клиентов.
❤14😁6🔥5👍2
Forwarded from КиберТопор
⚡️В MAX взломали популярнейшего бота для отложенных публикаций — под ударом оказались более 30 тысяч каналов.
Хакер получил доступ к сервису и начал рассылать сообщения во все подключённые каналы. Во многих из них уже появился одинаковый пост с сообщением об уязвимости бота.
Самое забавное, что до этого сервис якобы прошёл аудит безопасности у специалистов по информационной безопасности. Более того, сам взломщик утверждает, что заранее предупреждал разработчиков о критической дыре, но проблему никто не исправил.
Теперь владельцы каналов массово отключают бота и проверяют свои проекты на предмет компрометации.
🕹КиберТопор — Подписаться
Хакер получил доступ к сервису и начал рассылать сообщения во все подключённые каналы. Во многих из них уже появился одинаковый пост с сообщением об уязвимости бота.
Самое забавное, что до этого сервис якобы прошёл аудит безопасности у специалистов по информационной безопасности. Более того, сам взломщик утверждает, что заранее предупреждал разработчиков о критической дыре, но проблему никто не исправил.
Теперь владельцы каналов массово отключают бота и проверяют свои проекты на предмет компрометации.
🕹КиберТопор — Подписаться
😁45❤10🤯5👨💻2