Исследователи из команды Netlab китайской компании Qihoo 360 (кстати крупные ресерчеры по теме APT, классификация APT-C-xx хакерских групп принадлежит именно им) нашли новый ботнет HEH, который потенциально может нанести большой ущерб.
Ботнет распространяется путем брутфорса открытых портов 23 и 2323 на системы под операционными системами nix. Список поддерживаемых ботнетом архитектур весьма велик - x86, ARM, MIPS и PowerPC. Это означает, что он способен заражать сервера, маршрутизаторы, устройства IoT и т.п.
Поскольку ботнет пока совсем молодой, то стандартных модулей для вредоносной активности исследователи не нашли. Функциональность нового бота HIH ограничена - дальнейшее заражение, запуск HTTP-сервер с отображением Декларации прав человека на восьми языках, отслеживание других ботов для получения и передачи команд. А также вредонос содержит функцию стирания всех разделов на скомпрометированном устройстве.
И вот это последнее инфосек экспертов крайне волнует, поскольку существует сильно отличная от нуля вероятность того, что удаление всех данных на атакованном устройстве является одной из основных функций ботнета, запланированной с самого начала.
В случае активации этого спящего камикадзе могут выйти из строя миллионы зараженных систем, многие из них - безвозвратно.
Подобные ботнеты уже существовали - это BrickerBot, фактически уничтоживший в 2017 году более десяти миллионов IoT-устройств, и Silex, который появился в 2019 и также был нацелен на интернет вещей.
Ботнет распространяется путем брутфорса открытых портов 23 и 2323 на системы под операционными системами nix. Список поддерживаемых ботнетом архитектур весьма велик - x86, ARM, MIPS и PowerPC. Это означает, что он способен заражать сервера, маршрутизаторы, устройства IoT и т.п.
Поскольку ботнет пока совсем молодой, то стандартных модулей для вредоносной активности исследователи не нашли. Функциональность нового бота HIH ограничена - дальнейшее заражение, запуск HTTP-сервер с отображением Декларации прав человека на восьми языках, отслеживание других ботов для получения и передачи команд. А также вредонос содержит функцию стирания всех разделов на скомпрометированном устройстве.
И вот это последнее инфосек экспертов крайне волнует, поскольку существует сильно отличная от нуля вероятность того, что удаление всех данных на атакованном устройстве является одной из основных функций ботнета, запланированной с самого начала.
В случае активации этого спящего камикадзе могут выйти из строя миллионы зараженных систем, многие из них - безвозвратно.
Подобные ботнеты уже существовали - это BrickerBot, фактически уничтоживший в 2017 году более десяти миллионов IoT-устройств, и Silex, который появился в 2019 и также был нацелен на интернет вещей.
Команда Cisco Talos выложила обновление своего обзора появившегося в этом году вредоноса PoetRAT, атакующего азербайджанские организации.
Впервые PoetRAT, названный так из-за повторяющихся ссылок на произведения Вильяма, нашего, Шекспира, был выявлен феврале в ходе фишинговой кампании, нацеленной на государственный и энергетический сектора Азербайджана.
Документ-приманка содержал вредоносный скрипт, который сохранял часть документа, которая на самом деле являлась архивом ZIP, на диск. В архиве содержался интерпретатор Python и сам PoetRAT. В качестве дополнительных модулей троян подгружал инструмент поиска и эксфильтрации информации по электронной почте и FTP, скрипт для записи видео с веб-камеры, кейлогер, версию Mimikatz и др.
Несколько фишинговых кампаний по распространению PoetRAT было выявлено в течение 2020 года и все они были направлены на азербайджанские цели.
Новая кампания, выявленная в сентябре 2020 года, содержит приманку, которая якобы представляет собой письмо с гербами Азербайджана по углам. Макрос, как и раньше, содержит ссылки на литературные произведения, только теперь это фрагменты английского текста из романа Достоевского "Братья Карамазовы" (символичненько).
Новая версия PoetRAT использует обфускацию и разбита на несколько разных файлов. Эксфильтрация информации теперь происходит также через HTTP.
В начале октября фишинговая приманка изменилась - теперь это документ от лица Государственной службы призыва и мобилизации Азербайджана. Сам вредоносный скрипт теперь был написан на Lua вместо Python. Исследователи попытались получить полезную загрузку, однако вместо нее получили файл "FUCK-YOU.txt".
Насчет принадлежности PoetRAT пока никакого точного понимания нет. Логично было бы предположить, что его распространением занимаются спецслужбы Армении, однако вредонос является оригинальным, а ранее про армянские APT мы ничего не слышал. Кроме слухов о том, что армяне покупали хакерские инструменты у Hacking Team и GammaGroupu.
И еще одно - в первой выявленной фишинговой кампании в качестве приманки использовалось размытое изображение документа, содержащего логотип Организации оборонных исследований и разработок (DRDO) Минобороны Индии. Возможно, что ранее PoetRAT использовался для атак на Индию или Пакистан, которые вряд ли находятся в зоне интересов Армении. Зато мы знаем одних хитрых персов, которые заинтересованы и в информации в отношении Индии, и больше того в данных из соседнего Азербайджана, являющегося союзником их других заклятых соседей из Турции.
Но это не точно.
Впервые PoetRAT, названный так из-за повторяющихся ссылок на произведения Вильяма, нашего, Шекспира, был выявлен феврале в ходе фишинговой кампании, нацеленной на государственный и энергетический сектора Азербайджана.
Документ-приманка содержал вредоносный скрипт, который сохранял часть документа, которая на самом деле являлась архивом ZIP, на диск. В архиве содержался интерпретатор Python и сам PoetRAT. В качестве дополнительных модулей троян подгружал инструмент поиска и эксфильтрации информации по электронной почте и FTP, скрипт для записи видео с веб-камеры, кейлогер, версию Mimikatz и др.
Несколько фишинговых кампаний по распространению PoetRAT было выявлено в течение 2020 года и все они были направлены на азербайджанские цели.
Новая кампания, выявленная в сентябре 2020 года, содержит приманку, которая якобы представляет собой письмо с гербами Азербайджана по углам. Макрос, как и раньше, содержит ссылки на литературные произведения, только теперь это фрагменты английского текста из романа Достоевского "Братья Карамазовы" (символичненько).
Новая версия PoetRAT использует обфускацию и разбита на несколько разных файлов. Эксфильтрация информации теперь происходит также через HTTP.
В начале октября фишинговая приманка изменилась - теперь это документ от лица Государственной службы призыва и мобилизации Азербайджана. Сам вредоносный скрипт теперь был написан на Lua вместо Python. Исследователи попытались получить полезную загрузку, однако вместо нее получили файл "FUCK-YOU.txt".
Насчет принадлежности PoetRAT пока никакого точного понимания нет. Логично было бы предположить, что его распространением занимаются спецслужбы Армении, однако вредонос является оригинальным, а ранее про армянские APT мы ничего не слышал. Кроме слухов о том, что армяне покупали хакерские инструменты у Hacking Team и GammaGroupu.
И еще одно - в первой выявленной фишинговой кампании в качестве приманки использовалось размытое изображение документа, содержащего логотип Организации оборонных исследований и разработок (DRDO) Минобороны Индии. Возможно, что ранее PoetRAT использовался для атак на Индию или Пакистан, которые вряд ли находятся в зоне интересов Армении. Зато мы знаем одних хитрых персов, которые заинтересованы и в информации в отношении Индии, и больше того в данных из соседнего Азербайджана, являющегося союзником их других заклятых соседей из Турции.
Но это не точно.
Cisco Talos Blog
PoetRAT: Malware targeting public and private sector in Azerbaijan evolves
By Warren Mercer, Paul Rascagneres and Vitor Ventura.
* The Azerbaijan public sector and other important organizations are still targeted by new versions of PoetRAT.
* This actor leverages malicious Microsoft Word documents alleged to be from the Azerbaijan…
* The Azerbaijan public sector and other important organizations are still targeted by new versions of PoetRAT.
* This actor leverages malicious Microsoft Word documents alleged to be from the Azerbaijan…
Немного инфосек юмора.
СТО: "Наша сеть на 100% защищена, потому что мы установили рекомендованные Гартнер лидирующие продукты в области сетевой безопасности".
Русские APT:
СТО: "Наша сеть на 100% защищена, потому что мы установили рекомендованные Гартнер лидирующие продукты в области сетевой безопасности".
Русские APT:
Forwarded from Информация опасносте
Окей, эта история просто заслуживает войти в the best этого канала!
Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе
https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html
Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе
https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html
Ну вообще-то это очень странное расследование, типа как пойти на север через юг.
Можно было бы сразу взять данные базовых станций и отследить чужие телефоны в районе поджога. Пробить их принадлежность и установить родственника издателя.
Но ок, мы узнали, что Google хранит всю историю поисковых запросов. Еще один повод использовать VPN и браузеры, которые не дают снимать fingerprint'ы.
Можно было бы сразу взять данные базовых станций и отследить чужие телефоны в районе поджога. Пробить их принадлежность и установить родственника издателя.
Но ок, мы узнали, что Google хранит всю историю поисковых запросов. Еще один повод использовать VPN и браузеры, которые не дают снимать fingerprint'ы.
ФБР выпустили предупреждение о небезопасности использования гостиничных Wi-Fi сетей для работы.
Мол, в период пандемии многие стали работать из гостиничных номеров, потому что там нет отвлекающих факторов как дома, и многие отели стали даже предлагать дневное бронирование номеров как отдельную услугу.
Предупреждение, в общем, правильное, только немного устаревшее. Лет на десять.
Ведь приблизительно десять лет назад, в 2010 году, южнокорейцы из APT Dark Hotel начали свою операцию Dark Hotel, по названию которой группа впоследствии и получила наименование. Хакеры компрометировали гостиничные сети, вытаскивали списки гостей, а потом через Wi-Fi соединение всаживали бэкдоры интересующим их лицам.
Мол, в период пандемии многие стали работать из гостиничных номеров, потому что там нет отвлекающих факторов как дома, и многие отели стали даже предлагать дневное бронирование номеров как отдельную услугу.
Предупреждение, в общем, правильное, только немного устаревшее. Лет на десять.
Ведь приблизительно десять лет назад, в 2010 году, южнокорейцы из APT Dark Hotel начали свою операцию Dark Hotel, по названию которой группа впоследствии и получила наименование. Хакеры компрометировали гостиничные сети, вытаскивали списки гостей, а потом через Wi-Fi соединение всаживали бэкдоры интересующим их лицам.
Telegram
SecAtor
Представьте себе – приехали вы в командировку, заселились в прекрасный дорогой пятизвездочный отель, продуктивно поработали и вечером вернулись в свой номер. Что, казалось бы, может вам угрожать? Вы же приличный человек, клофелинщиц к себе не водите, стулья…
Лаборатория Касперского опубликовала отчет о новой киберкампании, направленной на индустриальный шпионаж.
Использованный в ее ходе вредоносный инструментарий Касперские назвали MontysThree, поскольку его авторы использовали аббревиатуру MT3. Но мы, как люди более близкие к народному хозяйству, можем подсказать, что это аббревиатура означает трактор МТЗ, в простонародье более известный как "Беларусь".
Способ распространения - целевой фишинг. Приманки - список телефонов сотрудников, некое техническое задание и результаты анализов лаборатории Инвитро. И это с ходу указывает нам на две вещи - целью является российская организация и хакеры хорошо разбираются в действующих российских реалиях.
MontysThree состоит из нескольких модулей и активно использует стеганографию и несколько видов шифрования. Так загрузчик извлекает основной модуль вредоноса из растрового изображения и сохраняет его на диске как файл msgslang32.dll. В свою очередь XML конфигурация, которую основной модуль использует для работы, хранится в нем самом в зашифрованном виде, причем ключи шифрования также содержатся в теле основного модуля. Вообще MontysThree напоминает матрешку.
Отдельно стоит модуль HttpTransport, который отвечает за обмен данными с управляющим центром и эксфильтрацию информации. Для этого он использует как легитимные сервисы, такие как RDP, так и общедоступные хранилища Google и Dropbox.
Самое интересное, что исследователи не не нашли каких-либо совпадений в TTPs с уже известными акторами. То есть за MontysThree с большой долей вероятности стоит неизвестная на данный момент хакерская группа. Касперские полагают, что, несмотря на некоторые ложные следы, оставленные авторами вредоносов и указывающие на китайское происхождение MontysThree, эта группа является русскоязычной и работает по русскоязычным целям.
Вместе с тем, несмотря на то, что профилем данной кибератаки являлся индустриальный шпионаж, сложность и изощренность кампании может сравниться с методами ведущих прогосударственных APT. И это означает, что в нее вложены большие деньги. А следовательно востребованность подобных методов конкурентной борьбы среди крупных корпоративных игроков растет.
Использованный в ее ходе вредоносный инструментарий Касперские назвали MontysThree, поскольку его авторы использовали аббревиатуру MT3. Но мы, как люди более близкие к народному хозяйству, можем подсказать, что это аббревиатура означает трактор МТЗ, в простонародье более известный как "Беларусь".
Способ распространения - целевой фишинг. Приманки - список телефонов сотрудников, некое техническое задание и результаты анализов лаборатории Инвитро. И это с ходу указывает нам на две вещи - целью является российская организация и хакеры хорошо разбираются в действующих российских реалиях.
MontysThree состоит из нескольких модулей и активно использует стеганографию и несколько видов шифрования. Так загрузчик извлекает основной модуль вредоноса из растрового изображения и сохраняет его на диске как файл msgslang32.dll. В свою очередь XML конфигурация, которую основной модуль использует для работы, хранится в нем самом в зашифрованном виде, причем ключи шифрования также содержатся в теле основного модуля. Вообще MontysThree напоминает матрешку.
Отдельно стоит модуль HttpTransport, который отвечает за обмен данными с управляющим центром и эксфильтрацию информации. Для этого он использует как легитимные сервисы, такие как RDP, так и общедоступные хранилища Google и Dropbox.
Самое интересное, что исследователи не не нашли каких-либо совпадений в TTPs с уже известными акторами. То есть за MontysThree с большой долей вероятности стоит неизвестная на данный момент хакерская группа. Касперские полагают, что, несмотря на некоторые ложные следы, оставленные авторами вредоносов и указывающие на китайское происхождение MontysThree, эта группа является русскоязычной и работает по русскоязычным целям.
Вместе с тем, несмотря на то, что профилем данной кибератаки являлся индустриальный шпионаж, сложность и изощренность кампании может сравниться с методами ведущих прогосударственных APT. И это означает, что в нее вложены большие деньги. А следовательно востребованность подобных методов конкурентной борьбы среди крупных корпоративных игроков растет.
Securelist
MontysThree: Industrial espionage with steganography and a Russian accent on both sides
In summer 2020 we uncovered a previously unknown multi-module C++ toolset used in highly targeted industrial espionage attacks dating back to 2018.
А вы знали, как ФБР поймало поджигателя, проверив, кто гуглил адрес дома незадолго до поджога.
Или как Великобритании не учли почти 16 тысяч больных COVID-19 из-за того, что в таблице Excel закончилось место.
А то, что фильтры для лица у камер смартфонов Google приводят к самоубийствам.
Нет? Тогда подписывайтесь на Эксплойт | Live - самые необычные и нелепые новости технологий, IT и инфосека.
Или как Великобритании не учли почти 16 тысяч больных COVID-19 из-за того, что в таблице Excel закончилось место.
А то, что фильтры для лица у камер смартфонов Google приводят к самоубийствам.
Нет? Тогда подписывайтесь на Эксплойт | Live - самые необычные и нелепые новости технологий, IT и инфосека.
Telegram
Эксплойт | Live
Описание украли хакеры.
Необычные, нелепые и шокирующие новости технологий, IT и инфосека.
Обратная связь: @earlsky
Необычные, нелепые и шокирующие новости технологий, IT и инфосека.
Обратная связь: @earlsky
Следующая сентябрьская публикация прошла мимо нас, но содержащаяся в ней информация настолько хорошо демонстрирует проблемы в информационной безопасности у больших корпораций, имеющих дело с чувствительными данными, что мы не смогли пройти мимо.
Британская компания Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг, летом этого года провела большое исследование с привлечением экспертов по инфосеку, в ходе которого оценила безопасность сайтов 98 компаний туристического сектора, среди которых были гостиничные сети, авиаперевозчики, сайты бронирования и пр.
Исследователи изучали не только основные сайты компаний, но и всю связанную с ними инфраструктуру - поддомены, служебные порталы, рекламные площадки и пр. В ходе изучения использовались исключительно общедоступные инструменты для тестирования.
На веб-сайтах гостиничной сети Marriot, откуда в 2018 утекли данные 339 миллионов гостей, а в мае 2020 года - 5,2 миллионов клиентов, исследователи обнаружили 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Об обнаруженных ошибках было сообщено в Marriot, однако представители компании сообщили, что у них нет оснований полагать, что их клиентские системы или данные были скомпрометированы (what?! через месяц после очередной утечки?!), но пообещали изучить информацию Which?.
На 9 доменах авиакомпании EasyJet, у которой в начале года утекли данные 9 миллионов клиентов, обнаружено 222 уязвимости, среди которых 2 критичные. После того, как сведения были переданы в EasyJet, последние отключили 3 домена и устранили ошибки на 6 других сайтах. Но, как всегда, заявили при этом, что "не обнаружено никакой злонамеренной активности" и, вообще, никаких клиентских данных на этих ресурсах не хранится.
На ресурсах British Airways, сведения о 500 тыс. клиентов которой, включая данные кредитных карт, были украдены в 2019 году, обнаружено 115 уязвимостей, 12 из них - критичные.
American Airlines - 291 уязвимость, из которых 7 критичные.
При этом, ранее на Marriot и British Airways за допущенные утечки клиентских данных регуляторами были наложены штрафы в сотни миллионов долларов. Правда неясно, выплатили ли они их, или договорились о реструктуризации.
То есть ни подорванная репутация, ни огромные штрафы не в состоянии заставить далекий от реалий сегодняшнего мира топ-менеджмент наладить нормальные процессы информационной безопасности. Хотя бы регулярно проводить аудит ИБ.
Хорошо быть тупым (с)
Британская компания Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг, летом этого года провела большое исследование с привлечением экспертов по инфосеку, в ходе которого оценила безопасность сайтов 98 компаний туристического сектора, среди которых были гостиничные сети, авиаперевозчики, сайты бронирования и пр.
Исследователи изучали не только основные сайты компаний, но и всю связанную с ними инфраструктуру - поддомены, служебные порталы, рекламные площадки и пр. В ходе изучения использовались исключительно общедоступные инструменты для тестирования.
На веб-сайтах гостиничной сети Marriot, откуда в 2018 утекли данные 339 миллионов гостей, а в мае 2020 года - 5,2 миллионов клиентов, исследователи обнаружили 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Об обнаруженных ошибках было сообщено в Marriot, однако представители компании сообщили, что у них нет оснований полагать, что их клиентские системы или данные были скомпрометированы (what?! через месяц после очередной утечки?!), но пообещали изучить информацию Which?.
На 9 доменах авиакомпании EasyJet, у которой в начале года утекли данные 9 миллионов клиентов, обнаружено 222 уязвимости, среди которых 2 критичные. После того, как сведения были переданы в EasyJet, последние отключили 3 домена и устранили ошибки на 6 других сайтах. Но, как всегда, заявили при этом, что "не обнаружено никакой злонамеренной активности" и, вообще, никаких клиентских данных на этих ресурсах не хранится.
На ресурсах British Airways, сведения о 500 тыс. клиентов которой, включая данные кредитных карт, были украдены в 2019 году, обнаружено 115 уязвимостей, 12 из них - критичные.
American Airlines - 291 уязвимость, из которых 7 критичные.
При этом, ранее на Marriot и British Airways за допущенные утечки клиентских данных регуляторами были наложены штрафы в сотни миллионов долларов. Правда неясно, выплатили ли они их, или договорились о реструктуризации.
То есть ни подорванная репутация, ни огромные штрафы не в состоянии заставить далекий от реалий сегодняшнего мира топ-менеджмент наладить нормальные процессы информационной безопасности. Хотя бы регулярно проводить аудит ИБ.
Хорошо быть тупым (с)
Which? News
Hundreds of Marriott, British Airways and easyJet fail data security risks exposed by Which? – Which? News
Our experts find hundreds of data security vulnerabilities on the websites of major tour operators, airlines and hotel chains.
Очередной скандал вокруг корпорации Apple.
Вчера исследователь Тим Карри опубликовал в своем блоге историю того, как он и еще четверо этичных хакеров в течение трех месяцев искали уязвимости в инфраструктуре Apple в рамках программы Apple bug bounty.
Всего было обнаружено 55 уязвимостей, 11 из которых оказались критичными. Их эксплуатация позволила бы хакерам полностью скомпрометировать клиентские приложения, внедрять червя, захватывающего iCloud жертвы, воровать исходники внутренних проектов Apple, перехватывать сеансы сотрудников Apple с возможностью доступа к инструментам управления и внутренним ресурсам и т.д.
Предоставленный Карри материал весьма объемен (вы можете подробнее изучить его по приведенной ссылке, это интересно), но заканчивает он свое повествование вроде бы положительным финалом - об уязвимостях сообщили Apple, которые их исправили (некоторые критичные уязвимости были устранены в течение 4 часов), исследователи получили 55 с половиной тысяч долларов в качестве вознаграждения. Так и хочется воскликнуть - "Мы счастливы!" (с)
Однако у инфосек сообщества тут же пригорело. Все дело в том, что сумма в 55 тысяч долларов команде из 5 человек, которые работали 3 месяца и нашли 55 уязвимостей, из которых 11 критичных, - это, извините, насмешка над самим понятием bug bounty. Такую сумму какой-нибудь из топ-менеджеров Apple тратит за месяц на винишко.
Apple тут же окрестили "дешевыми ублюдками" (и это еще не самое грубое) и высказали мнение, что им надо больше денег перераспределять в сторону информационной безопасности. Мы, как вы сами понимаете, с этим полностью согласны, поскольку выражение "информационная безопасность за мелкий прайс" - одно из наших любимых, характеризующих отношение к инфосеку в крупных корпорациях.
Тут уже пригорело у Apple, они настучали Карри по голове и тот исправил сумму вознаграждения на 288 тысяч долларов и сказал, что видимо оплата будет больше, поскольку "похоже, Apple производит платежи поэтапно". Это, конечно, лол.
Тот самый случай, когда проблемы инфосека решить не могут, но на негативный информационный повод реагируют молниеносно. И пока PR будет в приоритете перед ИБ - ситуация будет все хуже и хуже.
Вчера исследователь Тим Карри опубликовал в своем блоге историю того, как он и еще четверо этичных хакеров в течение трех месяцев искали уязвимости в инфраструктуре Apple в рамках программы Apple bug bounty.
Всего было обнаружено 55 уязвимостей, 11 из которых оказались критичными. Их эксплуатация позволила бы хакерам полностью скомпрометировать клиентские приложения, внедрять червя, захватывающего iCloud жертвы, воровать исходники внутренних проектов Apple, перехватывать сеансы сотрудников Apple с возможностью доступа к инструментам управления и внутренним ресурсам и т.д.
Предоставленный Карри материал весьма объемен (вы можете подробнее изучить его по приведенной ссылке, это интересно), но заканчивает он свое повествование вроде бы положительным финалом - об уязвимостях сообщили Apple, которые их исправили (некоторые критичные уязвимости были устранены в течение 4 часов), исследователи получили 55 с половиной тысяч долларов в качестве вознаграждения. Так и хочется воскликнуть - "Мы счастливы!" (с)
Однако у инфосек сообщества тут же пригорело. Все дело в том, что сумма в 55 тысяч долларов команде из 5 человек, которые работали 3 месяца и нашли 55 уязвимостей, из которых 11 критичных, - это, извините, насмешка над самим понятием bug bounty. Такую сумму какой-нибудь из топ-менеджеров Apple тратит за месяц на винишко.
Apple тут же окрестили "дешевыми ублюдками" (и это еще не самое грубое) и высказали мнение, что им надо больше денег перераспределять в сторону информационной безопасности. Мы, как вы сами понимаете, с этим полностью согласны, поскольку выражение "информационная безопасность за мелкий прайс" - одно из наших любимых, характеризующих отношение к инфосеку в крупных корпорациях.
Тут уже пригорело у Apple, они настучали Карри по голове и тот исправил сумму вознаграждения на 288 тысяч долларов и сказал, что видимо оплата будет больше, поскольку "похоже, Apple производит платежи поэтапно". Это, конечно, лол.
Тот самый случай, когда проблемы инфосека решить не могут, но на негативный информационный повод реагируют молниеносно. И пока PR будет в приоритете перед ИБ - ситуация будет все хуже и хуже.
Twitter
x0rz
Apple, you cheap bastards. Your customers privacy is only worth $51k? Pretty sure the useless ads you paid advocating privacy was 10x more than this. Scandalous. You should seriously rethink how you’re budgeting your billions. Apple employees working in infosec…
Команда SentinelLabs рассказывает о новом вымогателе FONIX, работающем по схеме RaaS (Ransomware-as-a-Service). Материал интересен тем, что подробно описывает процесс взаимодействия владельца ransomware, его оператора и жертвы.
Итак, FONIX - это новый штамм, который впервые появился в июле этого года. На данный момент он не располагает сайтом для публикации украденной информации в случае невыплаты жертвой выкупа, что делает его атаки менее грозными по сравнению с Ryuk, Maze, Sodinokibi и пр. Тем не менее, если у жертвы не налажен бэкап, то последствия атаки FONIX для нее могут быть плачевными.
Видимо, в силу своей новизны, FONIX не имеет портала для общения владельца и оператора и управления кампаниями. Все коммуникациями происходят по электронной почте.
Покупатель отправляет владельцу вымогателя свой адрес электронной почты, на который направляется полезная нагрузка в виде ransomware. Она настраивается таким образом, чтобы при рансоме в качестве контактного отображался адрес электронной почты нового оператора. Никаких авансовых платежей от покупателя не требуется.
После удачной атаки, когда жертва вышла на связь, оператор запрашивает у нее два файла - один из зашифрованных файлов небольшого размера и файл cpriv.key, созданный ransomware. Оператор перенаправляет оба файла владельцу FONIX и получает обратно расшифрованную версию первого файла, которую направляет жертве как доказательство своей возможности осуществить расшифровку.
Как только жертва убеждается в дееспособности оператора вымогателя последний предоставляет ей BTC-кошелек, на который необходимо выплатить выкуп. После получения битков оператор перечисляет владельцу ransomware 25% от суммы и получает утилиту дешифрования и ключ, который должен (но не обязательно) отправить жертве.
В данной схеме мы видим одну большую дырку - оператор может забить на жертву и не отдавать владельцу FONIX вообще ничего. В этом случае жертва останется с нерасшифрованными файлами, владельцы ransomware без денег и с подмоченной репутацией (после n-го кидка все будут знать, что FONIX не дает ключ расшифровки, а потому и денег ему платить бессмысленно). Видимо, именно поэтому многие крупные владельцы ransomware проводят с потенциальными операторами целые собеседования, чтобы оценить их хакерскую подготовку и благонадежность.
Ну а сам FONIX интересен, пожалуй, двумя вещами - во-первых, он использует для зашифровки файлов сразу четыре метода шифрования - RES, AES, Chacha и Salsa20.
А во-вторых, он оставляет на зашифрованном ресурсе файл "Hello Michaele Gllips" как привет Майклу Гиллеспи, члену MalwareHunterTeam. Такие пасхалки авторы ransomware оставляют не в первый раз - весной в коде Nemty обнаружилось послание от создателей Виталию Кремезу из SentinelLabs, Майклу Гилеспи и команде MalwareHunterTeam.
Итак, FONIX - это новый штамм, который впервые появился в июле этого года. На данный момент он не располагает сайтом для публикации украденной информации в случае невыплаты жертвой выкупа, что делает его атаки менее грозными по сравнению с Ryuk, Maze, Sodinokibi и пр. Тем не менее, если у жертвы не налажен бэкап, то последствия атаки FONIX для нее могут быть плачевными.
Видимо, в силу своей новизны, FONIX не имеет портала для общения владельца и оператора и управления кампаниями. Все коммуникациями происходят по электронной почте.
Покупатель отправляет владельцу вымогателя свой адрес электронной почты, на который направляется полезная нагрузка в виде ransomware. Она настраивается таким образом, чтобы при рансоме в качестве контактного отображался адрес электронной почты нового оператора. Никаких авансовых платежей от покупателя не требуется.
После удачной атаки, когда жертва вышла на связь, оператор запрашивает у нее два файла - один из зашифрованных файлов небольшого размера и файл cpriv.key, созданный ransomware. Оператор перенаправляет оба файла владельцу FONIX и получает обратно расшифрованную версию первого файла, которую направляет жертве как доказательство своей возможности осуществить расшифровку.
Как только жертва убеждается в дееспособности оператора вымогателя последний предоставляет ей BTC-кошелек, на который необходимо выплатить выкуп. После получения битков оператор перечисляет владельцу ransomware 25% от суммы и получает утилиту дешифрования и ключ, который должен (но не обязательно) отправить жертве.
В данной схеме мы видим одну большую дырку - оператор может забить на жертву и не отдавать владельцу FONIX вообще ничего. В этом случае жертва останется с нерасшифрованными файлами, владельцы ransomware без денег и с подмоченной репутацией (после n-го кидка все будут знать, что FONIX не дает ключ расшифровки, а потому и денег ему платить бессмысленно). Видимо, именно поэтому многие крупные владельцы ransomware проводят с потенциальными операторами целые собеседования, чтобы оценить их хакерскую подготовку и благонадежность.
Ну а сам FONIX интересен, пожалуй, двумя вещами - во-первых, он использует для зашифровки файлов сразу четыре метода шифрования - RES, AES, Chacha и Salsa20.
А во-вторых, он оставляет на зашифрованном ресурсе файл "Hello Michaele Gllips" как привет Майклу Гиллеспи, члену MalwareHunterTeam. Такие пасхалки авторы ransomware оставляют не в первый раз - весной в коде Nemty обнаружилось послание от создателей Виталию Кремезу из SentinelLabs, Майклу Гилеспи и команде MalwareHunterTeam.
SentinelOne
The FONIX RaaS | New Low-Key Threat with Unnecessary Complexities - SentinelLabs
FONIX RaaS uses four methods of encryption per file and leads victims (and affiliates) on a merry dance through multiple emails to obtain decryption.
Среди наблюдаемых APT есть и достаточно экзотические.
Как, например, хакерская группа SandCat родом из Службы государственной безопасности (СГБ или SSS) Узбекистана. При этом узбеки оказались весьма скилованными ребятами, поскольку в своей работе использовали вполне себе хорошие 0-day уязвимости. Но расскажем подробнее.
В конце 2018 года Лаборатория Касперского обнаружила попытку использования неизвестной доселе уязвимости в файле ntoskrnl.sys ядра семейства Windows NT. Уязвимость позволяла осуществить повышение локальных привилегий. Об ошибке (CVE-2018-8611) было сообщено в Microsoft и позднее она была успешно закрыта. Вредоносное ПО, которое эксплуатировало эту уязвимость позднее получило название Chainshot.
Тогда же Касперские упомянули, что эта уязвимость используется двумя APT - FruityArmor (aka Project Raven) из ОАЭ и новой группой SandCat.
Кстати, арабы из FruityArmor (точнее из государственного агентства NESA) те еще затейники - чего стоит хотя бы история с наймом бывших спецов из АНБ, которых потом запрягли ломать ресурсы арабскимх диссидентов в Европе и США.
Впервые о том, что СГБ занимается кибершпионажем стало известно в 2015 году, когда хактивист Финеас Фишер взломал итальянскую Hacking Team, поставлявшую спецслужбам и правоохранительным органам различных стран соответствующий инструментарий. Так, в период с 2011 по 2015 годы узбеки понакупили ПО у Hacking Team почти на миллион долларов.
А осенью 2019 года все те же Касперскиe на конференции VirusBulletin рассказали о SandCat уже намного больше. Как оказалось, исследовав вредоносную инфраструктуру SandCat ресерчеры не только смогли определить государственную принадлежность группы, но и установить точное место службы хакеров. И привели к этому ошибки в OPSEC хакеров.
Кроме CVE-2018-8611 было зафиксировано использование узбекской группой еще трех 0-day уязвимостей, которые, вероятно, были ими куплены.
Прокололись же SandCat достаточно просто - они установили на машины, где разрабатывалось вредоносное ПО, антивирусы Касперского, у которых были включена телеметрия. Таким образом, каждый раз, когда узбеки вставляли флешку с новым эксплойтом, антивирус отсылал копию вредоносного файла в исследователям ЛК.
Далее ресерчеры установили, что все эти ПК используют IP-адреса, принадлежащие в/ч 02616, являющейся подразделением СГБ Узбекистана. С этих же машин хакеры грузили свои вредоносы для проверки в Virus Total.
После того, как Касперские последовательно стали сообщать о выявленных 0-day уязвимостях, узбекские хакеры приступили к разработке своей собственной вредоносной платформы под названием Sharpa ("солнечный зайчик" с узбекского). Но делали они это с тех же самых ПК, оборудованных антивирусом!
Как, например, хакерская группа SandCat родом из Службы государственной безопасности (СГБ или SSS) Узбекистана. При этом узбеки оказались весьма скилованными ребятами, поскольку в своей работе использовали вполне себе хорошие 0-day уязвимости. Но расскажем подробнее.
В конце 2018 года Лаборатория Касперского обнаружила попытку использования неизвестной доселе уязвимости в файле ntoskrnl.sys ядра семейства Windows NT. Уязвимость позволяла осуществить повышение локальных привилегий. Об ошибке (CVE-2018-8611) было сообщено в Microsoft и позднее она была успешно закрыта. Вредоносное ПО, которое эксплуатировало эту уязвимость позднее получило название Chainshot.
Тогда же Касперские упомянули, что эта уязвимость используется двумя APT - FruityArmor (aka Project Raven) из ОАЭ и новой группой SandCat.
Кстати, арабы из FruityArmor (точнее из государственного агентства NESA) те еще затейники - чего стоит хотя бы история с наймом бывших спецов из АНБ, которых потом запрягли ломать ресурсы арабскимх диссидентов в Европе и США.
Впервые о том, что СГБ занимается кибершпионажем стало известно в 2015 году, когда хактивист Финеас Фишер взломал итальянскую Hacking Team, поставлявшую спецслужбам и правоохранительным органам различных стран соответствующий инструментарий. Так, в период с 2011 по 2015 годы узбеки понакупили ПО у Hacking Team почти на миллион долларов.
А осенью 2019 года все те же Касперскиe на конференции VirusBulletin рассказали о SandCat уже намного больше. Как оказалось, исследовав вредоносную инфраструктуру SandCat ресерчеры не только смогли определить государственную принадлежность группы, но и установить точное место службы хакеров. И привели к этому ошибки в OPSEC хакеров.
Кроме CVE-2018-8611 было зафиксировано использование узбекской группой еще трех 0-day уязвимостей, которые, вероятно, были ими куплены.
Прокололись же SandCat достаточно просто - они установили на машины, где разрабатывалось вредоносное ПО, антивирусы Касперского, у которых были включена телеметрия. Таким образом, каждый раз, когда узбеки вставляли флешку с новым эксплойтом, антивирус отсылал копию вредоносного файла в исследователям ЛК.
Далее ресерчеры установили, что все эти ПК используют IP-адреса, принадлежащие в/ч 02616, являющейся подразделением СГБ Узбекистана. С этих же машин хакеры грузили свои вредоносы для проверки в Virus Total.
После того, как Касперские последовательно стали сообщать о выявленных 0-day уязвимостях, узбекские хакеры приступили к разработке своей собственной вредоносной платформы под названием Sharpa ("солнечный зайчик" с узбекского). Но делали они это с тех же самых ПК, оборудованных антивирусом!
Так в руки исследователей даже попал скриншот интерфейса Sharpa с комментариями на узбекском языке, который один из разработчиков зачем-то использовал в зараженном файле Word.
После публичного рассказа исследователей о деятельности APT SandCat последние затихарились и с тех пор их никто не видел. Очевидно, что они улучшили свой OPSEC и, возможно, ломают кого-то и по сей день.
Кстати, некоторые эксперты склонялись к тому, что используемые 0-day уязвимости SandCat покупали у известных израильских торговцев кибершпионским ПО NSO Group и Candiru (мы про них много писали).
#APT #SandCat
После публичного рассказа исследователей о деятельности APT SandCat последние затихарились и с тех пор их никто не видел. Очевидно, что они улучшили свой OPSEC и, возможно, ломают кого-то и по сей день.
Кстати, некоторые эксперты склонялись к тому, что используемые 0-day уязвимости SandCat покупали у известных израильских торговцев кибершпионским ПО NSO Group и Candiru (мы про них много писали).
#APT #SandCat
Три недели назад американская компания Tyler Technologies, один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США, подверглась атаке ransomware RansomExx, ранее атаковавшего ресурсы технологического гиганта Konica Minolta.
Как оказалось далее, хакеры использовали скомпрометированную сеть Tyler для дальнейших атак уже на их клиентов.
И вот в субботу BleepingComputer выяснили, что Tyler Technologies все-таки были вынуждены заплатить оператору RansomExx выкуп. Правда сумма выкупа на данный момент неизвестна. Но мы попробуем прикинуть его границы.
Согласно исследованию IBM X-Force выкуп составляет от 0,08% до 9,1% от годового дохода жертвы. Известный годовой доход Tyler Technologies - приблизительно (и от этих цифр могли отталкиваться вымогатели) 1,2 млрд. долларов. Соответственно, размер выкупа - от 960 тыс. до 109 млн. долларов.
В последнюю цифру верится с трудом, поэтому, исходя из собственных знаний, можем предположить, что выкуп составил 5-20 миллионов долларов, скорее всего ближе к десятке.
Ну хоть на информационной безопасности сэкономили. Пару сотен тысяч долларов.
Ransomware и занимательная арифметика.
Как оказалось далее, хакеры использовали скомпрометированную сеть Tyler для дальнейших атак уже на их клиентов.
И вот в субботу BleepingComputer выяснили, что Tyler Technologies все-таки были вынуждены заплатить оператору RansomExx выкуп. Правда сумма выкупа на данный момент неизвестна. Но мы попробуем прикинуть его границы.
Согласно исследованию IBM X-Force выкуп составляет от 0,08% до 9,1% от годового дохода жертвы. Известный годовой доход Tyler Technologies - приблизительно (и от этих цифр могли отталкиваться вымогатели) 1,2 млрд. долларов. Соответственно, размер выкупа - от 960 тыс. до 109 млн. долларов.
В последнюю цифру верится с трудом, поэтому, исходя из собственных знаний, можем предположить, что выкуп составил 5-20 миллионов долларов, скорее всего ближе к десятке.
Ну хоть на информационной безопасности сэкономили. Пару сотен тысяч долларов.
Ransomware и занимательная арифметика.
BleepingComputer
Tyler Technologies paid ransomware gang for decryption key
Tyler Technologies has paid a ransom for a decryption key to recover files encrypted in a recent ransomware attack.
На прошлой неделе появилось сразу несколько новостей на одну и ту же тему - мировым властям не дает покоя сквозное шифрование и они хотят его директивно отменить.
Сначала Electronic Frontier Foundation (EFF), крупнейшая некоммерческая организация по защите гражданских прав в цифровом мире, выпустила большую статью, в которой рассмотрела последние поползновения на сквозное шифрование со стороны властей ЕС. Там перечислено много чего - от июньского выступления комиссара ЕС по внутренним делам Илвы Йоханссон до записки Европейской комиссии, в которой государства-члены ЕС призывают согласиться с новой позицией ЕС по сквозному шифрованию уже до конца 2020 года.
А позиция эта следующая - производители ПО, использующего сквозное шифрование, обязаны встраивать в него бэкдоры, которые дадут доступ к передаваемой конечным пользователем информации правоохранительным органам и спецслужбам. При этом этот доступ должен быть "без навязывания технических решений провайдерам и технологическим компаниям".
То есть исключается сама возможность какого-либо контроля над использованием этого бэкдора европейскими спецслужбами.
А в минувшие выходные представители стран-членов разведсообщества Five Eyes (США, Великобритания, Канада, Австралия, Новая Зеландия) вместе с примкнувшими к ним представителями Японии и Индии (это, кстати, для понимания того, в орбите каких стран находятся индусы применительно к своей цифровой политике) выступили с аналогичным призывом к технологическим компаниям о разработке бэкдоров. Тут правда есть упоминание про "строгие гарантии и контроль", но мы прекрасно понимаем, что такой контроль впоследствии элементарно отменяется каким-нибудь срочным законом типа Patriot Act.
Похоже, что-то надвигается. 1984-й?
Сначала Electronic Frontier Foundation (EFF), крупнейшая некоммерческая организация по защите гражданских прав в цифровом мире, выпустила большую статью, в которой рассмотрела последние поползновения на сквозное шифрование со стороны властей ЕС. Там перечислено много чего - от июньского выступления комиссара ЕС по внутренним делам Илвы Йоханссон до записки Европейской комиссии, в которой государства-члены ЕС призывают согласиться с новой позицией ЕС по сквозному шифрованию уже до конца 2020 года.
А позиция эта следующая - производители ПО, использующего сквозное шифрование, обязаны встраивать в него бэкдоры, которые дадут доступ к передаваемой конечным пользователем информации правоохранительным органам и спецслужбам. При этом этот доступ должен быть "без навязывания технических решений провайдерам и технологическим компаниям".
То есть исключается сама возможность какого-либо контроля над использованием этого бэкдора европейскими спецслужбами.
А в минувшие выходные представители стран-членов разведсообщества Five Eyes (США, Великобритания, Канада, Австралия, Новая Зеландия) вместе с примкнувшими к ним представителями Японии и Индии (это, кстати, для понимания того, в орбите каких стран находятся индусы применительно к своей цифровой политике) выступили с аналогичным призывом к технологическим компаниям о разработке бэкдоров. Тут правда есть упоминание про "строгие гарантии и контроль", но мы прекрасно понимаем, что такой контроль впоследствии элементарно отменяется каким-нибудь срочным законом типа Patriot Act.
Похоже, что-то надвигается. 1984-й?
Electronic Frontier Foundation
Orders from the Top: The EU’s Timetable for Dismantling End-to-End
The last few months have seen a steady stream of proposals, encouraged by the advocacy of the FBI and Department of Justice, to provide “lawful access” to end-to-end encrypted services in the United
Сингапурские китайцы из Channel NewsAsia троллят американцев в общем и Apple в частности.
Дело в том, что, как ожидается, завтра компания Apple представит новый iPhone 12, который, в соответствии с последней технологической модой, поддерживает сети 5G.
Да вот только в США как таковых сетей 5G нет. Те фрагментарные сети, которые позиционируются как 5G, работают в низкочастотном спектре и обеспечивают скорость лишь немногим большую чем стандартные 4G. И в полную силу 5G в Штатах заработают не раньше 2025 года, а к тому времени выйдет iPhone 15 (а может и iPhone 16). И не в последнюю очередь это связано с тем, что американцы отказались от оборудования Huawei, которые являются мировыми лидерами в 5G.
Ну а в России что? А то же самое - нет у нас 5G сетей. Во-первых - государство не выделило необходимых частотных спектров. А во-вторых - у операторов, с учетом низкого курса рубля, просто нет денег на строительство 5G сетей.
Так что iPhone 12 купить, конечно, можно. Но 5G попробовать на нем можно будет разве что в Китае или Южной Корее.
Дело в том, что, как ожидается, завтра компания Apple представит новый iPhone 12, который, в соответствии с последней технологической модой, поддерживает сети 5G.
Да вот только в США как таковых сетей 5G нет. Те фрагментарные сети, которые позиционируются как 5G, работают в низкочастотном спектре и обеспечивают скорость лишь немногим большую чем стандартные 4G. И в полную силу 5G в Штатах заработают не раньше 2025 года, а к тому времени выйдет iPhone 15 (а может и iPhone 16). И не в последнюю очередь это связано с тем, что американцы отказались от оборудования Huawei, которые являются мировыми лидерами в 5G.
Ну а в России что? А то же самое - нет у нас 5G сетей. Во-первых - государство не выделило необходимых частотных спектров. А во-вторых - у операторов, с учетом низкого курса рубля, просто нет денег на строительство 5G сетей.
Так что iPhone 12 купить, конечно, можно. Но 5G попробовать на нем можно будет разве что в Китае или Южной Корее.
CNA
Analysis: New Apple 'iPhone 12' to offer 5G speeds US networks can't deliver
5G will finally get its U.S. closeup with the expected debut of Apple Inc's next iPhone on Tuesday. But the blazing speeds promised will not ...
В Twitter появилась информация о том, что неустановленный актор продает доступ к сети компании из Fortune 500, имеющей активов на сумму более 100 млрд. долларов.
В скомпрометированной сети более 1800 машин. В качестве подтверждения продавец готов предоставить пароли 1697 пользователей в открытом виде.
В инфосек сообществе уже шутят, что CISO всех компаний из Fortune 500 срочно подсчитывают количество своих компьютеров.
В скомпрометированной сети более 1800 машин. В качестве подтверждения продавец готов предоставить пароли 1697 пользователей в открытом виде.
В инфосек сообществе уже шутят, что CISO всех компаний из Fortune 500 срочно подсчитывают количество своих компьютеров.
Сегодня Microsoft объявили, что в составе большой коалиции с ESET, NTT, Symantec и ряда других команд "нанесли решающий удар" по одному из самых известных ботнетов Trickbot.
Компания получила судебное решение Окружного суда Восточного округа Вирджинии о нарушении создателями Trickbot ее авторских прав. На основании решения компании-члены коалиции смогли отключить управляющие сервера ботнета, почистить хранящиеся на них данные и заблокировать будущие попытки операторов TrickBot приобрести или арендовать новые сервера.
ESET сообщают, что принимали активное участие в операции, занимаясь составлением карты ботнета, а также осуществляя технический анализ и мониторинг.
Хотя, без сомнения, урон ботнету достаточно велик, полагаем, что создатели и операторы TrickBot смогут возобновить свою деятельность через некоторое время. То есть операция классная, но ландшафт киберпреступности вряд ли серьезно изменит.
C'est la vie.
Компания получила судебное решение Окружного суда Восточного округа Вирджинии о нарушении создателями Trickbot ее авторских прав. На основании решения компании-члены коалиции смогли отключить управляющие сервера ботнета, почистить хранящиеся на них данные и заблокировать будущие попытки операторов TrickBot приобрести или арендовать новые сервера.
ESET сообщают, что принимали активное участие в операции, занимаясь составлением карты ботнета, а также осуществляя технический анализ и мониторинг.
Хотя, без сомнения, урон ботнету достаточно велик, полагаем, что создатели и операторы TrickBot смогут возобновить свою деятельность через некоторое время. То есть операция классная, но ландшафт киберпреступности вряд ли серьезно изменит.
C'est la vie.
Microsoft On the Issues
New action to combat ransomware ahead of U.S. elections
Today we took action to disrupt a botnet called Trickbot, one of the world’s most prolific distributors of ransomware. In addition to protecting election infrastructure from ransomware attacks, this will protect a wide range of organizations including financial…
Отличная статья на ZeroDay за авторством Криса Матищика, технического эксперта, руководителя консалтинговой компании Howard Raucous.
Если оставить все размышлизмы Матищика за кадром, то останется два основных тезиса, одновременно являющиеся же и ключевыми проблемами, которым посвящена статья:
- корпоративные пользователи остаются людьми со всеми присущими им человеческими недостатками, поэтому пытаются прикрутить к корпоративной сети любую новую свистоперделку с выходом в Интернет, будь то умная колонка от Amazon или дистанционно управляемая кофеварка;
- специалисты ИТ и ИБ остаются людьми со всеми присущими им человеческими недостатками, поэтому, несмотря на признание подключения незащищенных IoT устройств к корпоративной сети одной из основных угроз ее компрометации, даже не рассматривают возможность организации процесса их своевременных обновлений.
Единство и борьба противоположностей. Инфосек edition.
Если оставить все размышлизмы Матищика за кадром, то останется два основных тезиса, одновременно являющиеся же и ключевыми проблемами, которым посвящена статья:
- корпоративные пользователи остаются людьми со всеми присущими им человеческими недостатками, поэтому пытаются прикрутить к корпоративной сети любую новую свистоперделку с выходом в Интернет, будь то умная колонка от Amazon или дистанционно управляемая кофеварка;
- специалисты ИТ и ИБ остаются людьми со всеми присущими им человеческими недостатками, поэтому, несмотря на признание подключения незащищенных IoT устройств к корпоративной сети одной из основных угроз ее компрометации, даже не рассматривают возможность организации процесса их своевременных обновлений.
Единство и борьба противоположностей. Инфосек edition.
ZDNet
Amazon's Alexa is driving IT managers crazy
An extensive new study reveals what's really worrying IT and security professionals. It also reveals a little of their (deeply human) hypocrisy.
Интересный тред на реддите.
Чувак решил сделать апгрейд своей Ferrari, но в его процессе сработала "автомобильная DRM" и его суперкар превратился в кирпич.
Специалисты Ferrari помочь не могут, поскольку машина находится на подземной стоянке, а там нет сотовой связи для удаленного доступа.
Цифровое будущее, которое мы заслужили.
Чувак решил сделать апгрейд своей Ferrari, но в его процессе сработала "автомобильная DRM" и его суперкар превратился в кирпич.
Специалисты Ferrari помочь не могут, поскольку машина находится на подземной стоянке, а там нет сотовой связи для удаленного доступа.
Цифровое будущее, которое мы заслужили.
Reddit
From the Justrolledintotheshop community on Reddit: Dude comes straight from the dealership for a car-seat installation, but halfway…
Explore this post and more from the Justrolledintotheshop community