Новый инструмент защиты или контроля?
Google Web Environment Integrity

Архитектура современных браузеров такова, что зачастую доверять им совершенно невозможно. Почему?
- Имитировать легитимный браузер крайне легко, чем пользуются ботоводы накручивающие рекламу.
- Изменять код на клиенте - проще простого, чем пользуются в фишинге и этим же пользуются вредоносные расширения.
- Отделить реального комментатора от бота-манипулятора в социальных сетях, можно только по контенту и статистике, но не по браузеру.
- Читерство в веб-играх, неконтролируемо.
- С атаками на перебор паролей, тоже не всегда все просто (да в 2023 году!).

При этом подобные проблемы на мобильных устройствах стоят гораздо менее остро, там есть возможность проверить целостность кода и отсутствие root-прав. Но этим часто и злоупотребляют.
Разработчики Google хотят внедрить схожий механизм проверки содержимого браузера, как они говорят с целью защиты.

Цель благая, но какие подводные камни?
1. Блокировщики рекламы могут попасть под удар, они намеренно изменяют код и защита должна это видеть.
2. Это уникальный сбор данных о браузере, фактически супер-fingerprinting, который будут видеть только Google.
3. Фактически заблокировав доступ к этому API, многие сайты могут перестать открываться.

А что с другими браузерами? Это станет обязательным, уровня "интернет-паспорт"?
И вот в этом и кроется основной срач генерирующий споры момент.
- Сейчас разработчики утверждают, что не собираются влиять на работу блокировщиков рекламы или иных плагинов и расширений.
- Фингерпринтинг и слежку отвергают, хотят лишь регулировать скорость доставки контента до конечного устройства.

Сейчас проект располагается на личном Github одного из разработчиков, Google намеренно абстрагируется от столь неоднозначной технологии.

Она с точки зрения защиты дает Google большие возможности, но с большой силой приходит большая ответственность, как ей распорядится компания, увидим. Это может стать как благом для пользователей, так и проклятием для всего интернета.

Обманывают не только пенсионеров

Если вы все еще считаете, что колл-центры мошенников из "службы безопасности" обманывают в основном людей пожилого возраста, то прочтите этот пост.

Ольга П. 24 года, учительница из Воронежской области. Сегодня она подожгла военкомат, так как считала, что помогает задержать преступников, которые пытаются украсть ее деньги и на навесить на нее кредиты. Конечно же, все это ей сообщили по телефону сначала из "Центробанка", потом из "МВД". Ее настолько убедили в этом, что она не задумалась о том, что она делает даже в процессе изготовления горючей смеси!
Сейчас решается вопрос о возбуждении уголовного дела не только против мошенников, но и против нее.

Все мы можем быть уязвимы к подобному, ведь еще до звонка мы можем быть в стрессовом и поэтому уязвимом состоянии.
Не давайте мошенникам шанса вас обмануть, сразу бросайте трубку.

И распространите, пожалуйста, нашу одноименную памятку "Бросай трубку!".
Информирование - лучшая защита от подобного.

Фантастика — проблему перехода от мошенничества к терроризму, о которой мы писали год (!), наконец заметили крупные СМИ. Правда, реальность все равно несколько иная.

Во-первых, в статье ниже пишут, что причиной взрывного роста числа поджогов стало ужесточение регулирование оборота наличной валюты на Украине. На сколько мы понимаем — это не так, никакого нового "закона о контроле над финансовыми операциями" от 1 августа на Украине нет, а Нацбанк просто изменил правила внесения валюты на счета, например с использованием платежных терминалов. И да, теперь они больше похожи на российские. Так что это неприятно ударит по "серому" рынку и приведет к росту комиссий — но нет, вред для бизнеса колл-центов будет минимальным.

Наоборот, осенью на Украине Минфин (точнее, Нацбанк и НКЦБФР) с ненулевой вероятностью окончательно "легализует" крипту. Сейчас там есть закон «О виртуальных активах», подписанный Зеленским в феврале прошлого года, но в нем много пробелов. Скорее всего, осенью их исправят.

Почему мы говорим о крипте? Потому что во всей этой истории она гораздо важнее любых ограничений на кэш, и без нее любой вывод средств из России на Украину вообще достаточно нетривиален. Пока что цепочка не меняется: жертва - дроп - сервис обнала - криптокошелек call-центра - микшер (анонимизация транзакций) - Binance -"белый" кошелек call-центра. Что интересно в этой схеме: фактически, "отмыв" происходит дважды. Первый раз деньги "заводятся" на криптокошелек сервисом обнала чтоб вывести их в России, второй раз — чтобы "легализовать" их на Binance. Вариаций у этой схемы миллион, но идея каждый раз плюс минус одинаковая. Если интересно - очень советуем старый отчет Сбера про работу колл-центров.

Что касается поджогов и прочего терроризма. То, что крупные СМИ заметили ее только сейчас совершенно не говорит о том, что проблема новая. Первый известный нам поджог произошел практически год (!) назад. Кстати, по РБ мошенники тоже работают. Вообще, есть стойкое ощущение, что изначально все это было самодеятельностью отдельных сотрудников колл-центров, а в последние месяцы история стала более централизованной. Ну, и за это скажем спасибо — могли начать и раньше.

Кстати, история касается не только телефонных мошенников. Недавно был характерный пример — обманутому клиенту (покупал БПЛА, перевел деньги дропу) угрожали "отправкой денег на Украину", а чтобы этого не случилось — предлагали снять с коптера воинскую часть. Мужчина обратился в полицию.

А теперь поговорим о том, как этому можно противодействовать. С точки зрения государства — никак. Запретить анонимные обменники невозможно, запретить мошенникам обманывать "клиентов" пока тоже не получается. Отбросив заведомо нереалистичные сценарии (разбомбить все колл-центры, программным способом выявлять мошенников на этапе звонка) останется только один. Информирование, информирование, информирование.

И вот здесь СМИ действительно могут помочь. Мы уже писали об этом много раз, правило одно и очень простое. При любых сомнениях, бросайте трубку. Надежда на то, что украинские власти "запретят" мошенников, крайне сомнительна.

Поджоги военкоматов становятся массовым явлением?

Тут пишут, что за сутки подобных случаев было больше десятка (мы проверили и нашли несколько фактов). К сожалению, дальше может быть только хуже. Причина простая — на той стороне тоже учатся. Почти наверняка, за год россияне отдадут мошенникам около 10 млрд (!) рублей, общее количество звонков в сутки приближается к 10 млн.

И вот тут возникает вопрос — что со всем этим делать. Простого ответа на него нет. Даже ЦБ, отчаявшись научить сограждан хоть каким-то основам финансовой грамотности, решил переложить проблему на банки. Вот только с поджогами и прочими резонансными делами так не выйдет — там ответственность перекладывать не на кого.

Лучшее, что государство может в этой ситуации сделать — это не замалчивать проблему. В конце концов, у нас в стране вагон разной социальной рекламы, достаточно просто добавить еще одну. Не надо разговаривать с мошенниками. Вообще. Не надо пытаться понять, что они вам говорят. Не надо отвечать им. Просто бросайте трубку.

Новые угрозы безопасности на практике — здесь и сейчас

Мы много раз писали, что ландшафт киберугроз за последние полтора года претерпел колоссальные изменения. Сегодняшняя история только подтверждает этот факт. В конце концов, ну кому из злоумышленников до 2022 года могло в голову придти взламыать МосгорБТИ?

И вот сегодня (про)украинские взломщики, активно продвигаемые известным кардером российского происхождения устроили полноценную диверсию. Подкрепленную не только словами, но и скриншотами, крайне похожими на реальные. Сам МосГорБТИ пишет, что информация надежна защищена, а с инцидентом уже разбираются. Так это или нет, узнаем через пару дней.

Мы не готовы утверждать, что диверсия была успешной и мы совершенно точно не знаем, восстановимы ли данные. Мы можем только с уверенностью сказать, что пруфы "другой стороны" выглядят очень правдоподобно. Так что атака была как минимум отчасти успешной.

Пару лет назад МосГорБТИ был нафиг никому не нужен. Ну камон, кардингу не интересно, рансому не интересно (выкуп не заплатят), кибершпионаж тоже не при делах, т.к. данные банально не ликвидны. И угроз как таковых не было. Угрозы банкам - были, платежным системам - были. А ломать государственные бюджетные учреждения, как правило нищие как церковные мыши, мало кому в голову то приходило.

А сейчас появился новый тип атак — целенаправленная диверсия с целью нанесения максимального ущерба. Цель хактивистов — не деньги, они хотят засветиться в атаке на российскую инфраструктуру. Мы уверены, что с каждым месяцев будет только хуже. Тут история как с колл-центрами, когда "та сторона" за год получила достаточно компетенций для того, чтобы перерасти чисто мошенническую деятельность.

Сейчас будет то же самое — вместо атак ради выкупа и атак ради данных придут атаки ради ущерба. Их главная цель — получить максимальный хайп, засветиться в СМИ и медиа.

State sponsored APT

Каждый интересующийся кибербезом неизбежно сталкивался с аббревиатурой APT, гуглил расшифровку которая выглядела как APT (Advanced Persistent Threat) и яснее не становилось. На русский это переводится как "Постоянная серьезная угроза", стало яснее? Нет.

APT - это высококвалифицированная хакерская группа, финансово мотивированная как и прочий киберкриминал, либо "State sponsored".

State sponsored APT называют группы подконтрольные или даже находящиеся в штате одной из спецслужб какой-либо страны. Это или отделы, или внешние постоянные подрядчики, которые де-юре независимые, де-факто просто вынесенные за периметр службы. Соответственно и операции которые проводятся подобными APT группами - мотивированы интересами государств. Какие-то группы традиционно приписывают определённым странам, иногда с доказательствами, иногда голословно.

Тема атрибуции (определения конечного исполнителя атаки) будет всегда политизирована, доказательства могут быть подтасованы и проверить их через независимые источники крайне сложно.
Красивый не политизированный список APT-групп можно посмотреть на сайте Лаборатории Касперского.
А политизированную версию с атрибуцией, например, на сайте MITRE.

Чем же state sponsored APT отличается от киберкриминала, помимо своих про государственных, диверсионных и/или шпионских целей?
- Уровнем мастерства/подготовки. Участники любых APT это зачастую бОльшие профессионалы.
- Ресурсами. APT группы аккумулируют бОльшее количество уязвимостей нулевого дня, а остальное зависит от финансирования той страны к которой они принадлежат или собственного финансирования.
- Целевыми атаками. Киберкриминал не ставит целью взлом конкретной компании, если не получается им проще перейти к иной цели. State sponsored APT же будут стремиться выполнить задачу любыми способами, они готовы даже ждать удачного момента.

Свежий пример подобной атаки.

SecAtor пишет со ссылкой на британцев, что уже как 2 года назад взломали Избирком Великобритании.
Удачный взлом произошел в августе 2021 года, утекли данные всех избирателей за последние 8 лет. А узнали они об этом только сейчас. Фактически все 2 года абсолютно незаметно неизвестная APT-группа контролировала всю инфраструктуру организации и все ее коммуникации.

Их цель понятна - шпионаж.

Британцы сейчас, конечно же говорят, что ничего страшного не случилось, а угрозы выборам не было. Словом, пытаются замять историю.

СМИ и кибербезопасность — пример того, как можно круто писать про ИБ

Мы уже как-то писали о том, что СМИ традиционно освещают проблемы ИБ крайне специфично, а их материалы часто далеки от реальности. Справедливости ради, так происходит далеко не всегда. Некоторые издания готовы и могут писать очень качественно, если индустрия совсем немного поможет им материалами и комментариями. И вау — все будет супер.

Собственно, как это было — мы сами специально связались с "Бизнес-Онлайн", скинули цикл наших постов про мошеннические колл-центры, поджоги и социальную инженерию, издание (к их чести) предельно адекватно восприняло написанное и предложило нам просто прокомментировать их новый материал. Мы ответили на их вопросы в формате "комментарии эксперта", и у них вышел вот такой шедевр! И мы искренне рады, что приняли небольшое участие в его подготовке.

Вывод — СМИ и индустрия вместе делают могут хорошо рассказать об очень важных и иногда достаточно сложных вещах.

П - популяризация

Сейчас активно раскручивается новое IT-медиа "вАЙТИ" и нам предложили написать статью о том, как же развивать культуру безопасности в компании?
Мы постарались простым языком об этом рассказать, с легкими и понятными примерами и небольшими лайфхаками. Отдельно остановились на том, что точно делать не нужно)

Если коротко, самое главное — нужно искать золотую середину. Попытка "запрещать все" вредит бизнесу, "разрешить все" тоже вредит бизнесу, но иначе) А вот про то, как эту самую золотую середину искать — практически половина статьи))

Уязвимости в крипте

Исследовательская группа Fireblocks по криптографии обнаружила BitForge – серию уязвимостей нулевого дня в некоторых из наиболее широко распространенных реализаций протоколов многопартийных вычислений (MPC), включая GG-18, GG-20 и Lindell17 (да, на русском здесь).

Многопользовательские вычисления остаются отраслевым стандартом безопасности кошельков, которым доверяют бесчисленные учреждения и розничные пользователи по всей отрасли. В рамках постоянных усилий по повышению безопасности MPC в области криптографии исследовательская группа Fireblocks проанализировала десятки общедоступных протоколов MPC и поставщиков кошельков. При этом команда обнаружила уязвимости нулевого дня в реализациях, используемых более чем 15 провайдерами кошельков цифровых активов, блокчейнами и проектами с открытым исходным кодом, которые позволили бы злоумышленнику с привилегированным доступом выводить средства из кошельков. В некоторых реализациях атака займет всего несколько секунд без ведома пользователя или поставщика.

А теперь то же самое, но простыми словами. Про 0-day мы когда-то давно уже писали для РБК, это (грубо говоря) такие ультимативные уязвимости. "Владение" 0-day позволяет при должном умении проводить исключительно эффективные атаки, а сами по себе они стоят миллионы долларов. И в случае с криптой все это вдвойне опасно. Потому, что во многих случаях "откатить" транзакции практически нереально, а в случае с северными корейцами нереально еще и что-то сделать с атакующей командой. "Что ты мне сделаешь, я в Пхеньяне, кекеке".

Особенно опасны 0-day в руках APT (Advanced Persistent Threat, грубо говоря, элиты от мира киберкриминала или state sponsored, про них мы тоже писали). Там в ход пойдет и социальная инженерия, фишинг, атаки на личные устройства — в общем все, что угодно. И именно пользователи криптокошельков — самая простая и понятная цель для них. Хотя при таких возможностях мы не удивимся, что скоро попытаются атаковать и биржи, и бриджи, да вообще все.

А на фоне роста числа пользователей крипты в новом "фрагментированном" мире, прошлогодние 4 лярда потерь могу показаться цветочками.

IT-конференция "Стачка"

Для индустрии очень важно рассказывать на именно IT-конференциях про безопасность. Приходите на мой доклад
"Безопасность/удобство глазами CISO". Он адаптирован именно для IT, для ознакомления и погружение в культуру кибербезопасности.

По своей сути IT и кибербезопасность – антиподы. Как и их стремления сделать что-то удобнее и безопаснее. Оптимальный баланс для самого себя выработать не так сложно, но вот в компании все гораздо сложнее.
В этом докладе я расскажу:
- Об актуальных угрозы бизнесу от малого до энтерпрайза.
- Какие бывают подходы к кибербезу в компаниях и что с ними не так.
- Почему баланс всегда в движении и будет нарушаться.
- Как взаимодействовать с пользователями и владельцами бизнеса.
- Почему не работают только технические методы.
- И как наконец найти тот самый стабильный баланс, подходящий именно вашей компании.


Ульяновск. 15-16 Сентября 2023.

Zero trust минимальными усилиями

Наконец вышло видео с моим кратким выступлением о том, как компании начинать идти к Zero Trust. Выступал еще в апреле на Cyber Sabantui.
Кратко рассказал о том:

- Что в целом это за стратегия?

- Ее внедрение может быть проще, чем вы думаете.

- Аутсорс и SaaS, что и почему разумнее всего отдавать, не нарушая саму модель.

- Что обычно вызывает наибольшее противодействие?

- Какие бюджеты и команда необходимы для старта?

Атака на трейдеров через WinRAR

Иногда для успешной атаки на трейдеров (в том числе крипто) вместо сложных схем используют уязвимости нулевого дня ... в ПО для архивирования. Для специалистов по ИБ ничего удивительного нет, но у нормальных людей вызывает удивление. К слову, сам архиватор уже пропатчили.

Важно: для того, чтобы уязвимость реализовалась, мошенники распространяли ZIP-архивы на торговых площадках. Дальше жертва открывала запакованное изображение, которое запускало вредоносный скрипт, тот обращался к самораспаковываемому архиву, ну и понеслось (подробности тут).

Не то, чтобы совсем новая история, но тут важно, что конкретной целью были трейдеры, арбитражники, да любой участник рынка.

А вывод очень простой — по большому счету, активным участникам крипто-рынка рано или поздно придется менять привычки. Цифровой гигиены уже недостаточно, придется в какой-то степени стать безопасником для самого себя. Отделаться простой установкой антивирусного ПО уже не получится.

Как взломать iPhone — интервью для "Вестей"

Тут татарские "Вести" сделали интересный материал про современную прикладную безопасность, утечки данных и возможности слежки через телефон. Антон поучаствовал.

И вот практически сразу - материал для РИА Новости

"Безопасник должен отлично понимать, что происходит у него в Сети, и знать обо всех возможных угрозах, — подчеркивает Антон Бочкарев. — Если на корпоративную почту пришла рассылка вредоносных писем, важно сразу проверить, кто их открывал, не заражены ли рабочие станции. Если удаленный сотрудник подключился из новой точки, нужно немедленно провести расследование".

Ниже — очень, очень хороший и правильный текст. Первопричина множества успешных атак —именно специфическая "кадровая политика" некоторых компаний и желание сэкономить вот буквально на всем. А потом удивление: ой, как же так вышло, как же так получилось, ничего же не предвещало.

͏Мы хотели было написать очередной новостной пост по следам последнего отчета Security Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?!

Две критичные уязвимости были выявлены и закрыты еще в марте этого года, а в апреле в паблике появился их эксплойт. Между тем, как утверждают Security Joes, в сети доступны более 52 тысяч экземпляров MinIO, из которых только 38% обновлены до неуязвимой версии. В России, кстати, всего наружу торчит около 1800 MinIO, а значит примерно 1100 установок дырявые.

Если админ за полгода (!) не обновил один из ключевых объектов своей инфраструктуры, то нам его совершенно не жаль - он просто мудак. И его начальник, который его держит на должности - мудак. И директор HR, который нанял таких специалистов - мудак. И генеральный директор компании вместе с учредителями, допустившие такую кадровую политику в ущерб информационной безопасности своих данных, - мудаки. Нам их всех ничуть не жаль, они должны страдать.

Пора вводить новый вид атак - атака на цепочку мудаков. Она куда более распространена, чем атаки на цепочку поставок или цепочку зависимостей.

"Так безопасно?" №8: Нужен ли домашний антивирус в 2023 году?

Короткий ответ: Да.

Длинный ответ: да, но есть нюансы. Он не панацея и не первая линия вашей защиты. А вот ваша цифровая гигиена и аккуратность в сети - это как раз она, первая линия. Домашний антивирус — это средство, которое призвано страховать вас от вашей же ошибки. Если вы аккуратны, не качаете различное ПО из сомнительных источников, не скачиваете содержимое фишинговых писем, не переходите по сомнительным ссылкам, то работу антивируса вы и не увидите.

Значит ли это что он бесполезен для вас? Нет. Подушку безопасности вашего автомобиля вы тоже не видите, но, если вдруг увидите в работе, будете рады, что она была.

Нужен ли антивирус поверх "Защитника Windows"? Не обязательно, но есть антивирусы лучше. В последние годы Microsoft вывела свой антивирус в лучшие, но все же он уступает компаниям, которые специализируются на антивирусном ПО. В чем же антивирус от Microsoft уступает?
- Скорость анализа вредоносного ПО и добавления в базы сигнатур ниже.
До сих пор в 2023 году значительную часть работы по анализу вредоносного ПО выполняют люди в ручном режиме. Поэтому, профессиональные команды и процессы антивирусных компаний дают им преимущество.
- Качество обучения поведенческого анализатора оставляет желать лучшего.
Это вопрос опыта и обучения моделей, тут антивирусные вендоры развивают свой успех пару десятков лет.
Сравнить антивирусы можно покопавшись в результатах сканов на Virustotal.

О чем это говорит? Если вам посчастливиться поймать новейший вирус, шанс его обнаружения "Защитником Windows" будет пониже.

Стоит из-за этого покупать платный антивирус? По нашему мнению, нет. Бесплатной версии вполне хватает для домашнего пользователя.

Резюме. Домашний антивирус - ваша страховка, как минимум включите "Защитника Windows", а лучше поставьте бесплатный известный антивирус. Покупать платную версию для домашнего пользователя немного излишне. А вот ставить ломанный антивирус категорически не советуем.

#3side_так_безопасно