Penetration Test
10K members
16 photos
2 videos
190 links
Блог компании Электронное облако
Информационная безопасность, как она есть
https://cloudserver.ru
По всем вопросам - @bestpirateIeverseen

По вопросам подключения Rendall - @rendalll
Download Telegram
to view and join the conversation
Хакеры взломали сервера подрядчика ФСБ, и отправили найденную там информацию нескольким СМИ. Те, в свою очередь, опубликовали ее.
О чем стоит знать:

1. Пользователей TOR пытаются деанонимизировать через фейковый узел. Во многом, это делает крайне опасным использование TOR в России без VPN.

2. Вся информация в открытом доступе в соц-сетях парсится и анализируется с помощью проекта "Наутилус."

3.Спец-службы РФ как минимум думали о том, чтобы внедрять шпионские программы с помощью торрент трекеров. Реализован в итоге проект или нет - неизвестно.

4.Проект "Наставник" позволяет собирать и анализировать письма из электронной почты по ключевым словам. Судя по всему, данная технология, в первую очередь, направлена на слежку за собственными сотрудниками.
Сегодня у нас сразу две новости про привязку какого-либо аккаунта к номеру телефона:

1. Мошенники украли страницу вконтакте основателя Jeffrys Coffee, при помощи установки переадресации смс сообщений.

2. В госдуму внесён законопроект, предполагающий идентификацию электронной почты по номеру телефона.

Комментарий эксперта электронного облака:

Очередное подтверждение того, что привязка к телефонному номеру - не безопасна в принципе. Закон, который сейчас собираются принять, не несёт никакой ценности с точки зрения безопасности. Он лишь позволит усилить контроль государства за ещё одним инструментом коммуникации в интернете.
Глава Пуэрто-Рико ушёл в отставку после массовых протестов, которые начались из-за публикации его телеграм переписки. В прессе были обнародованы сообщения из группового чата, где политики смеялись над жертвами урагана, а также оскорбляли других публичных деятелей.


Комментарий эксперта электронного облака:

Что именно стало причиной утечки переписки, столь пагубно сказавшейся на судьбе политика? Возможно, необоснованная уверенность в том, что телеграм- это безопасный мессенджер, возможно, банальное непонимание, что переписка принадлежит не одному лицу, а всем ее участникам и утечка может произойти (и чаще всего происходит) в "слабом звене", возможно и то и другое.
Урок для всех: если вы передаете в мессенджере чувствительную информацию, используйте самоуничтожающиеся сообщения. Но гораздо эффективнее- использовать профессиональный безопасноый мессенджер и никогда не выключать голову.
Penetration Test
Хакеры взломали сервера подрядчика ФСБ, и отправили найденную там информацию нескольким СМИ. Те, в свою очередь, опубликовали ее. О чем стоит знать: 1. Пользователей TOR пытаются деанонимизировать через фейковый узел. Во многом, это делает крайне опасным…
UPD

Комментарий эксперта электронного облака:

1) Данные лучше хранить на серверах в зашифрованном виде, особенно если это информация длительного хранения. Это касается как частных лиц и бизнеса, так и структур, аффилированных с ФСБ.
2) Обратим внимание на слово «деанонимизация». Борьба государства с анонимностью в интернете на законодательном ( закон о мессенджерах) и техническом уровне ( попытка деанонимизации Tor) означает следующее: анонимность- важнейшая составляющая информационной безопасности и приватности. Отсутствие анонимности открывает широкие возможности для доступа к вашей конфиденциальной информации. В частности, мессенджеры, привязывающие ваш телефонный номер к своему аккаунту ( Whatsapp, Telegram и многие другие) крайне уязвимы. Именно по этой причине. стоит думайте об анонимности в сети, особенно в мессенджерах, особенно если вам есть, что сказать.
На аккаунты журналистов, пользовавшихся "безопасным" почтовым клиентом ProtonMail, совершили кибератаку
 
Атакованные журналисты относятся к расследовательской группе Bellingcat и российскому изданию The insider. Они расследовали причастность российской разведки к крушению  малазийского лайнера MH17 в 2014 году на востоке Украины, а также к отравлению Сергея Скрипаля и его дочки в марте прошлого года в английском городе Солсбери.

Комментарий эксперта электронного облака:

Несмотря на возможности сервиса, повышающие безопасность и анонимность переписки, для атаки на журналистов использовалась типичная уязвимость почты с веб-интерфейсом: пользователям подставлялся фальшивый сайт, внешне полностью копирующий интерфейс ProtonMail. При вводе пароля данные транслировались на реальный сайт и пользователь попадал в свой почтовый аккаунт, не замечая ничего подозрительного. При этом и пароли, и содержимое почтового ящика сразу же становятся известными злоумышленникам.
 
Как мы видим, в описанном выше случае использование второго пароля не спасло журналистов от атаки. Ко всему прочему, сама пересылка почты от компьютера пользователя до почтового ящика на сервере ProtonMail (как и любой другой почты) не защищена от перехвата.
Несмотря на заметные преимущества ProtonMail перед остальными почтовыми клиентами, в наше время обмен чувствительной информацией через почту является весьма опрометчивым занятием, потому что риск утечки персональных данных остается высоким и по сей день.

Профессиональные мессенджеры со сквозным шифрованием, анонимностью и серьезной защитой от потери информации на конечных устройствах пользователей и человеческого фактора - вот рекомендованное решение для обмена корпоративными и личными данными.
Пользователи Reddit нашли вирус, замаскированный под секс игру. Это Android малварь, шифрующий файлы на вашем телефоне и требующий выкуп за их дешифровку. При установке, программа также рассылает смски всем вашим контактам, предлагая установить "игру".
Будьте аккуратнее и не ведитесь на такие вот кликбейты. Злоумышленники всегда будут знать вашу слабую сторону и пытаться использовать ее.
Похоже, что Московская полиция использует Израильскую программу Cellebrite, для взлома телефонов, которые им отдали задержанные протестующие в обмен на свое освобождение. Безусловно, действия полиции нарушают 23 статью конституции РФ. Мы не будем вдаваться в политические подробности ситуации, а как обычно, разберем технические.

Комментарий эксперта электронного облака:
Средства обхода блокировок смартфонов совершенствуются и успешно соревнуются с системами защиты смартфонов. При изъятии телефона у мирного демонстранта, в руках полиции сразу же оказывается круг контактов, файлы и переписка в мессенджерах типа WhatsApp и, возможно, Telegram. Не стоит и говорить о том, что эта информация будет использована как против владельца телефона, так и против многих его корреспондентов. Еще эффективнее зачастую бывает волевой напор полицейского, умеющего "убедить" выдать пароль от телефона.
Урок из этой истории простой, защищенный мессенджер должен:
Обладать собственным паролем, ничего не хранить на телефоне пользователя, иметь сквозное шифрование, пароль под принуждением и возможность дистанционно стереть переписку. Этими свойствами обладает Rendall
CitizenLab выпустил большой текст, согласно которому, все фотографии в WeChat цензурируются и удаляются в реальном времени, прямо при отправке пользователем. Кто не знает, WeChat - главный китайский мессенджер, которым пользуется более миллиарда людей.

Комметарий эксперта электронного облака:
Китай, очевидно, дает ясный пример модели взаимоотношений государства и интернет компаний. Мессенджер WeChat, ставший примером уникальной и чрезвычайно финансово успешной экосистемы, отвечает всем требованиям китайских властей: идентифицирует, записывает, цензурирует. Интернет компании самостоятельно вкладывают деньги в разработку свойств, отвечающих задачам политической цензуры и слежки. За это они получают достойное вознаграждение- возможность работать на миллиардном рынке. По-существу, та же модель реализована и в США- любой американский мессенджер строго ограничен по криптозащите и прозрачен для властей, За это они получают достойное вознаграждение- возможность работать на американском рынке. Россия тоже пытается воспроизвести ту же модель. Только предложить интернет компаниям ей, кроме доступа к коррумпированным госзаказам и угроз отключения нечего.
В WhatsApp найдены сразу 3(!!) уязвимости позволяющие менять, как текст, так и автора сообщения! Как вы сами понимаете такой баг несет в себе много угроз.

Самое главное, что в фейсбуке знают об этом больше года, но пофиксили пока только одну!
Наверняка многие из вас часто слышат, а кто-то даже произносит фразу: "Мне нечего скрывать, зачем мне пароль на телефон, двухфакторная аутентификация, безопасный мессенджер (нужное подчеркнуть)".
Вот отличный текст, который иллюстрирует на вполне бытовых кейсах, почему всем есть, что скрывать. Минимум технических подробностей, максимум реальности.

Обязательно прочтите и отправьте друзьям:
https://m.habr.com/ru/post/462771/
​​Распознавание лиц уличными камерами видеонаблюдения массово внедряется правительствами разных стран. Где-то с его помощью ловят оппозиционеров, где-то повышают безопасность города, а где-то и вовсе запрещают. В любом случае данная технология уже стала реальностью, с которой нам придется жить. Вот большой ликбез от медузы про нее, а также, по традиции, наш экспертный комментарий.

Комментарий эксперта электронного облака:

Очень интересная статья; главный вывод- знание алгоритмов распознавания лиц позволит создать эффективные средства защиты от тотального контроля на улице, в интернете, в соцсетях. Такие средства защиты непременно станут важной частью жизни, каким стало сейчас шифрование передаваемых данных. Возникнут «анти алгоритмы", сбивающие с толку системы распознавания и контроля, шифрующие вашу личность. Интересная и перспективная тема!

P.S
На видео Гонконгские протестующие светят лазерами в сторону в камеры, чтобы сбить систему распознавания
Media is too big
VIEW IN TELEGRAM
Подробный видео разбор того, как можно с помощью специально софта прочитать переписку в skype, и как это нельзя сделать в нашем любимом Rendall. Снято нашим хорошим другом, сертифицированным этичным хакером - Сергеем Клевогиным. Абсолютный маствотч для технических специалистов.
​​Протестующие в Гонконге жалуются на недостаточную защищенность телеграм.

В мессенджере есть функция отключения отображения
номера телефона. Отключить можно для всех.
Проблема же заключается в том, что если внести телефонный номер в записную книжку, мессенджер отобразит совпадение. Китайские власти так и делают: добавляют десятки тысяч номеров, а потом мониторят протестный чат на предмет совпадения, деанонимизируя протестующих.

Вывод из этой истории один:
Мессенджеры, обладающие привязкой к номеру телефона, небезопасны. Запомните это как факт.
Кое-что о контактах и сообществах.

В последнее время идёт много обсуждений касательно того, что неанонимные мессенджеры, типа Телеграмм, требующие привязки номера телефона к аккаунту, крайне уязвимы.

Конечно, привязка аккаунта к номеру телефона удобна, так как позволяет сразу же использовать телефонную записную книжку. Ваш выверенный годами круг контактов сразу же переносится в мессенджер. С точки зрения безопасности, уязвимость возникает потому, что телефонный номер и личности ваших собеседников легко становятся известны третьей стороне (всем, кто имеет доступ к телефонной базе),а всякий, кто сможет подменить номер телефона (а это легко), сможет выдать себя за вашего собеседника.

Мессенджер Rendall позволяет создавать собственные закрытые сообщества. Это значит, что вы, как администратор, сможете сами решить, кто будет в вашем закрытом клубе, сможете выслать участникам специальные коды-приглашения, и в любой момент сможете "отлучить" любого из участников вашего клуба от доступа к диалогам.

Не общаться со всем миром без всяких ограничений, ради сомнительной возможности получать рекламу и хакерские атаки, а иметь надежное приватное общение в проверенном кругу.
Звучит немного старомодно? Ничуть!


Основные концепции модернизации монстров соцсетей, типа фейсбук сводятся именно к этому.
В Rendall же, эта концепция уже реализована с учетом самых серьезных требований безопасности.
Держите 15 часовой курс этичного хакинга от некоммерческой организации "FREE CODE CAMP". Максимум технических подробностей, минимум воды.

https://www.youtube.com/watch?v=3Kq1MIfTWCE
This media is not supported in your browser
VIEW IN TELEGRAM
В мессенджере Telegram найден баг, не удалявший сообщения с устройства пользователя, после их удаления из облака. Для Андройд версии уже вышел фикс, но ИБ специалист, обнаруживший баг, считает, что на iOS может быть та же проблема.
Mail.ru выпустила собственный корпоративный мессенджер MyTeam. Позиционируется он как "безопасный мессенджер". К примеру, уволенные сотрудники будут терять доступ к переписке, а доступ к групповым чатам можно будет настраивать в зависимости от должности. Остальной функционал такой же, как и у любого другого современного мессенджера.

Комментарий эксперта электронного облака:
Во-первых, поход в безопасность уважаемой группы компаний показывает, насколько актуальна тема защищенной корпоративной или командной коммуникации. И это несомненно должно воодушевлять участников индустрии и привлекать внимание простых пользователей к теме.
Во-вторых, представление о приватности и безопасности частного бизнеса явно не коррелирует с образом компании, которая известна своим провластным поведением, сотрудничеством с силовиками и откровенной сдачей переписки пользователей ВКонтакте.
И если в создание продукта с удобным интерфейсом поверить легко, то в создание продукта, которому можно доверять - поверить трудно.
Последний шанс зарегистрироваться на бесплатный вебинар!
"Как избежать ошибок и не попасть под ФАС участникам гос.торгов?"

Дата и время:
17 Сентября, 17:00 (по Москве)

Обсудим:
На что следует обратить внимание при подготовке документов, как проверить себя самостоятельно, надо ли заказывать внешнюю проверку?

Спикеры:
- Логунова Виктория, юрист МКА "Юрасов, Ларин и партнеры"
- Александр Дмитриев, ведущий эксперт компании “Электронное Облако”

Самые активные участники получат индивидуальные бесплатные консультации от экспертов "Электронного Облака"!

Регистрация тут:
http://bit.ly/2lM0j6i
Пользователи, уже установившие IOS 13, стали получать уведомления о скрытом использовании Bluetooth фейсбуком. По всей видимости, такая вот дыра в безопасности раньше применялась для определения гео пользователя, даже когда он не использовал приложение.