В Москве прошел круглый стол «Безопасность платежного бизнеса и наличного обращения»
Этим событием завершился Международный ПЛАС-Форум «Платежный бизнес и денежное обращение», который проходил 13–14 сентября 2023 года в Москве.
https://plusworld.ru/articles/57026/

#ПЛАСФорум #Платежныйбизнес

Эксперт по кибербезопасности, сооснователь компании «Третья сторона», Антон Бочкарев в своем докладе на ПЛАС-Форуме в Москве, в рамках круглого стола «Безопасность платежного бизнеса и наличного обращения» говорил о перспективах в сфере цифровой защищенности. Подробнее об этом читайте в статье на нашем портале.

#ПЛАСФорум #Платежныйбизнес

Рассказываем, как идут дела

Мы тут много пишем про очень разное в ИБ, а хотелось бы рассказать пару слов про то, как у нас вообще идут дела. А то у нас тут вообще-то бизнес.

Самое главное — все в порядке, полет нормальный. Могло быть лучше, могло быть сильно хуже. Когда мы начинали работу, то прекрасно осознавали, что ИБ — сфера ультра-консервативная, особенно когда модель твоей работы для рынка становится совершенно непривычной. Но клиенты есть, выручка есть, работы — вагон. И мы очень рады, что многие из тех, кто с нами работал, возвращаются к нам снова. Retention прямо-таки хороший.

Есть два больших проекта, которые в перспективе могут стать отличным лидогенератором. Тут все зависит только от нас. Мы рады, что философия 3side зацепила многих людей внутри и за пределами ИБ, Антон начал выступать на новых для нас отраслевых конференциях, и это тоже очень круто. Приятно, что на некоторые нас целенаправленно зовут.

Да, венчурный рынок в России не то, чтобы очень жив, но и тут возможны разные варианты. С другой стороны, возможность вполне неплохо развивать проект на выручку от него очень мотивирует) И да, нас узнают, нами многие заинтересовались.

В общем, пока все выглядит очень интересным приключением, которое может вырасти во что-то большее. Продолжаем работу.

1С Bitrix критическая уязвимость

Всем срочно ставить обновления до 23.850.0 или отключить модуль landing.

Обнаруженная уязвимость с CVSS 10/10. Удаленное выполнение кода на уровне ОС без авторизации, поэтому в ближайшее время все уязвимые публичные битриксы будут атакованы.

Как потенциальное временное решение – ограничить доступ к битриксу по белому списку IP-адресов, если это возможно.

Номер уязвимости BDU:2023-05857.

Для более 80% людей кажется, что ответ на этот опрос очевиден.
Но это не так, почему это не так, читайте в посте ниже!

Биометрия - не зависит от секретности.

И в этом ее суть и сила. Представим, что вы встречаете вашего друга, как вы определяете, что это он? По биометрии! Лицо, голос, походка, поведение и многое другое вам известно, вы видите, что это все совпадает, и перед вами он из плоти и крови.

Также должна работать и хорошая биометрическая система, она сравнит параметры и определит, что это действительно этот человек. Ничто из сравниваемых параметров - не секрет. Лицо вашего друга есть на множестве фото и его видят коллеги, голос слышат множество людей в день, походку может увидеть любой прохожий на улице, поведение хорошо знают друзья и неплохо знают коллеги, да и на видео его можно подсмотреть. Даже отпечатки его пальцев можно снять с практически любой поверхности или даже восстановить по фото! Об этом мы писали вот тут.

Но если все не секрет и все можно подделать, то на чем должна строиться стойкая биометрическая аутентификация? На "живности" (liveness), а не секретности. Вы ведь можете вживую отличить вашего друга от его фотографии, статуи/восковой фигуры, от человека в его маске или его брата близнеца (если вы его хорошо знаете)?

Конечно, может быть профессиональный двойник, очень похожий и копирующий все привычки. Но в реальном мире, а не шпионском боевике это маловероятный и крайне дорогой сценарий! Если вы человека не знаете, вы можете попросить показать его паспорт и сравнить фото, с его лицом, а также сравнить его подпись на документах. Но в сравнениях всегда участвует живой человек, а не два фото.

Такой же принцип работает в цифровой сфере, везде критически необходимо проверять "живость". При верификации фотографии обычно просят сделать определенный жест или выражение лица. А система распознавания радужной оболочки от Sensar отслеживает «движение гиппуса» — постоянное смещение и пульсацию, происходящие в глазу, так определяют, что это действительно живой глаз. Для определения "живости" лица могут использоваться и многие другие параметры, например:

- Температура поверхности. Отсекает множество некачественных масок, они остаются холодным.

- Рельеф лица. Маске придется повторять идеально повторить форму отличную от лица носителя.

- Рисунок сосудов лица. Патент 2019 года описывает, что рисунок сосудов лица возможно распознать качественной камерой современного смартфона, а он уникален даже у близнецов.

Текущие системы аутентификации на базе биометрии, к сожалению, далеки от идеальных, но они совершенствуются. Причем крайне быстро. Фактически источников "уникальности" уже достаточно, чтобы жизненные проблемы не помешали процессу аутентификации. Всегда можно использовать несколько источников, если с вашим пальцем что-то случилось, или ваше лицо пострадало.

Но помните, что именно "живость" защищает биометрию от подделки. Устройства на базе биометрии должны уметь отличить живой образец, он чего-то искусственного. Секретность тут не причем, она дает лишь иллюзию защиты. Так что слив биометрии не дает ничего, ее и так получить не сложно.

Пароли - фактор "Я знаю", уже активно уходит в прошлое.
Токены - фактор "Я имею", наше настоящее.
Биометрия - фактор "Я есть", наше будущее.

JetBrains TeamCity критическая уязвимость

Всем срочно ставить обновления до 2023.05.3.

Обнаруженная уязвимость с CVSS 9.8/10. Удаленное выполнение кода на уровне приложения с обходом аутентификации, в ближайшее время все уязвимые необлачные сервисы будут атакованы. Облачное решение не подтверждено уязвимости.

Номер уязвимости CVE-2023-42793.

Еще один случай "поджигающего" мошенничества.

И снова знакомый скрипт — сначала "развести" на деньги, потом предложить возврат за конкретное действие на камеру. И мы уверены, что мошенники обмениваются опытом и обмениваются "лучшими практиками", и еще конкурируют между собой. Такой вот печальный эталон "социальной инженерии".

Так что снова напоминаем, в любой непонятной ситуации — бросайте трубку.

3side сториз

Привет! Мы тут долго думали о том, нужны ли нам сториз и о том, как их использовать. Мы посмотрели на опыт многих каналов и поняли, что зачастую они ими просто по настоящему не пользуются.Что мы точно не хотим и не будем делать — это постить туда мемы. Весело, забавно, но это корпканал, и он не про это.

Мы хотели бы спросить подписчиков, если бы у нас были сториз, хотели ли вы видеть там наиболее любопытные по нашему мнению новости по кибербезопасности? Формат: скриншот заголовка + ссылка в описании на саму новость. Спамить ими не будем, как не спамим постами, не наш формат.

А опроса не будет, если хотите и у вас есть премиум просто голосуйте за нас по ссылке!

https://news.1rj.ru/str/By3side?boost

BrainSploit. Эксплойты социальной инженерии.

Конференции по информационной безопасности не очень любят доклады по социальной инженерии. Особенно если доклад про социальную составляющую, а не про новый вид вредоносной нагрузки.

А вот крупнейшая IT конференция заинтересовалась! Поэтому именно на Highload 2023 27-28 ноября я и расскажу доклад на стыке ИБ, психологии и немного нейрофизиологии. О том, как именно работают эксплойты для нашего мозга. Почему таким образом "взломать" можно любого из нас, как защищаться и как атакуют опытные злоумышленники из мошеннических колл-центров. Обязательно разберем их скрипты, мои скрипты, опробованные в легальных проектах, и другие показательные примеры!

Кто будет на конференции - приходите, подобное еще никто не рассказывал.

Про блокировки клиентов VPN-провайдеров

Судя по всему, с помощью нового закона Роскомнадзор пытается заблокировать клиенты приложений VPN провайдеров, которые нужны для подключения зарубеж, а не условные клиенты OpenVPN/Wireguard и прочие, которые позволяют подключаться к любым серверам по стандартным протоколам.

По-сути, происходит планомерная попытка запретить существующие способы обхода блокировок. В первый раз она была, мягко говоря, неудачной – сейчас к вопросы пытаются подойти более грамотно.

Те, кто живет в СпБ, в Екатеринбурге и некоторых других городах уже заметили, что у некоторых интернет-провайдеров ВСЕ стандартные VPN-протоколы перестали работать в случае, если трафик уходит за пределы рунета.

Внутри России же всё работает, в принципе, как оно и должно, ведь VPN нужен бизнесу. Поэтому можно сделать вывод, что в ближайшее время Ростелеком и другие провайдеры полноценно заблокируют возможность подключения по стандартным VPN протоколам зарубеж. Более хитрые способы подключения, очевидно, еще будут работать какое-то время, возможно даже достаточно долго или всегда. Но массового распространения они, вероятно, не получат, ведь для этого стандартного клиента недостаточно и нужно запускать собственное приложение.

Именно для борьбы с приложениями VPN провайдеров Роскомнадзору и нужен этот закон, который требует от Apple и Google удаление приложений из магазинов. Без подобных приложений у большинства пользователей России не будет возможности обойти блокировки.

Но что могут сделать VPN провайдеры? То же самое, что и санкционные банки России делают прямо сейчас. Выпускать новые приложения с мутными названиями аля «СБОЛ» или «Деньги» и быстро оповещать пользователей, чтоб успели скачать до удаления из маркета. Как видим тактика хорошо работает для банков, значит сработает и тут. А значит РКН придется придумать что-то еще, противостояние продолжается!

DirtyNIB — Apple не исправили 0-day за 2 года.

Тут один исследователь рассказал офигенную историю. Если коротко: он обнаружил, что в пакетах приложений в macOS можно подменить NIB-файлы, и они выполнятся в обход существующих методов защиты!

Впервые он сообщил об этой проблеме в Apple еще в ноябре 2021 года. После обмена МНОГИМИ электронными письмами он получил несколько подтверждений того, что проблема будет исправлена. Но за два года все попытки как-то исправить уязвимость были лишь косметическими, она до сих пор работает с минимальным изменением способа эксплуатации и пережила выход аж двух новых версий MacOS (Ventura, Sonoma)!

В итоге исследователь решил, что выполнил все правила ответственного раскрытия и опубликовал новость в своем блоге. Таким образом он надеется повлиять на Apple и поспособствовать скорейшему закрытию уязвимости.

Крайне осуждаем Apple за это!

Хактивизм и кнопка «нарушить закон»

Иногда достаточно осмысленно нажать одну единственную кнопку, чтобы нарушить закон и с определенной вероятностью за это сесть в тюрьму. Но давайте по порядку.

Хактивизм - использование незаконными способами компьютеров и компьютерных сетей для продвижения каких-либо идей. Способ известный еще с 2010ых со времен первых хактивистких атак от Anonymous и именно тогда за участие в хактивизме свободы лишились подростки/домохозяйки и прочие сочувствующие, которые не имея никаких специальных знаний поучаствовали в DDoS атаках.

Как они это сделали? С помощью ПО LOIC (Low Orbit Ion Cannon), которое требовалось лишь скачать, вбить адрес цели, который предоставляли Anonymous и нажать кнопку "GHARGING MY LASER". Все, компьютер начал участвовать в атаке генерируя запросы к серверу-жертве. Участие в атаке, умысел больше и не нужно ничего, чтобы за это осудить, что и было сделано.

Ну а что сейчас? В 2023 году LOIC регулярно распространяют с теми же самыми целями, и в виде отдельного ПО, и в виде web-версии. Например, есть такой сайт, запущенный буквально позавчера fuck-hamas[.]com для атак из браузера на сайты СМИ ХАМАС. Пока кнопка нажата, и вкладка браузера открыта, браузер участвует в атаке и подставляет владельца. Правда эффективность за более чем 10 лет у LOIC сильно снизилась, современные системы очистки трафика довольно просто отсекают подобное, но если сделать упор на массовость какие-то ресурсы уложить можно.

Не стоит думать, что участников много и вас просто не заметят. Какие бы цели не декларировались, не стоит нарушать закон.
#3side_безполитики

С NetNTLM на Kerberos за 23 года?

Уязвимости и недостатки сетевого протокола NTLM (NT LAN Manager) были известны Майкрософт и всем исследователям с момента его появления в 1990 году. А более защищенный и современный протокол аутентификации Kerberos стал протоколом по умолчанию в Windows с 2000 года. Но что мы видим до сих пор? Сетевые атаки на все еще использующийся NTLM, все еще в топе у злоумышленников и пентестеров, потому что они эффективны и работают практически везде. Протокол работает в сетях "на всякий случай" и для поддержки ПО, которое старше автора данного поста.

Теперь же Майкрософт предлагает окончательно отправить устаревший протокол на свалку истории, а Kerberos дополнительно усилить. Интересно, сколько он еще проживет в сетях компаний с той же формулировкой "на всякий случай" или "чтоб точно все работало"?

Вечность.

Не надо изобретать способы взлома — про СМИ и фишинг

Тут одно крупное СМИ написало пост про взломы тг-каналов. К сожалению, специалисты в ИБ несколько удивлены формулировками в нем, а реальная ситуация там иная. Произошедшее скорее всего стало результатом классической проблемы — фишинга. Пишут, что "схема взлома несложная", но в действительности ее никто в мире до сих пор не смог реализовать. Для этого нужна 0day уязвимость в телеграмме или современных браузерах, стоимостью ну так около 1 миллиона долларов. И атаковать с ее помощью локальные ТГ-каналы просто нерационально.

А что же было на самом деле?
В даты взлома одному из администраторов новостного канала дружественного редакции 3side пришла классическая фишинговая ссылка под предлогом закупки рекламы. Ссылка выглядела следующим образом "https://tgstat[.]name/channel/XXX" c подставленным именем канала. Сайт по ссылке мимикрировал под известный агрегатор статистики и провоцировала жертву "залогиниться через Телеграм", после чего и доступ к каналу появлялся у злоумышленников. Администратор на фишинг не купился, а отправил ссылку нам на изучение.

Все просто, банальный фишинг, а не выдуманная 1-click уяeзвимость. Скорее всего, подобную схему, только под иным предлогом и с другой маскировкой использовали и в массовом взломе. Ничего нового.

Мы еще раз призываем всех журналистов, делающих хорошую и серьезную работу (а мы знаем, что нас читают в совершенно разных СМИ), в подобных ситуациях обращаться к индустрии. Дело касается не только ИБ, а практически любой области. Мы прекрасно понимаем, что нельзя быть специалистом во всем — но только коммуникации с профессионалами в любой сфере помогут сделать действительно качественный и интересный материал.

А заодно и количество подобных инцидентов помогут сократить.

UPD. Коллеги уточняют, что возможно использовался и второй вектор с вредоносным самораспаковывающимся архивом. Но и тут, архив нужно скачать и запустить распаковку, никакого 1-click по ссылке.

Атака на цепочку поставок

В дополнение к нашему прошлому посту. Как нам подсказал наш подписчик, к основному успеху злоумышленники, взломавшие множество ТГ каналов, пришли вовсе не через фишинг. Взломанные каналы пользовались сервисом отложенного постинга и автосообщений SmmBox.

Злоумышленники обнаружили в сервисе уязвимость, которая позволяла подобрать токен к странице настройки канала. Где в свою очередь отображался токен для управления ТГ канала! Да, без маскирования. Таким образом был осуществлен перебор множества токенов и были получены доступы ко множеству клиентов SmmBox. Особо стоит отметить, что токены хранились и у не активных клиентов.

Сервис признал свои ошибки, выпустил пресс-релиз и работает над их устранением! Это несмотря на то, что компания достаточно маленькая. Пример множеству компаний, которые все отрицают и ничего не делают для оповещения атакованных клиентов.

Видимо, именно после взлома SmmBox остальные векторы атак (фишинг, вредоносный архив) стали не актуальны и их свернули.

Администраторам каналов - будьте внимательны к своим контрагентам, которым вы выдаёте доступы.
Владельцам ботов - вы ответственны за данные ваших клиентов и доступы к их каналам, поэтому вам придется заниматься безопасностью.

За информацию спасибо подписчику и его каналу.

"Окажите содействие товарищу майору!"

Новый скрипт от мошеннических колл-центров набирает обороты. Теперь уже звонят по компаниям/госструктурам/организациям, но не сразу. Сначала на телефон сотрудника в одном из мессенджеров приходит сообщение от контакта с фотографией его руководителя и с ФИО его руководителя. Конечно же, диалог будет пустой, ведь это не настоящий аккаунт, а ново созданный фейк. Фото взято из открытых источников, ФИО тоже, а рассылка идет по всем сотрудникам. Зачастую даже не разбираются чем именно сотрудник занимается, писали и тем, кто работает в отделе кибербеза.

В диалоге "руководитель" краток и пишет, что дело крайне срочное, под угрозой вся компания и сейчас с сотрудником свяжется представитель ФСБ/МВД/СК и товарищу майору Петрову/Иванову/Кузнецову обязательно нужно оказать всяческое содействие! Не успеет жертва прочитать сообщение, как "майор" уже звонит, и продолжает запугивать, не давая времени на то, чтобы проверить диалог и обдумать, а что вообще происходит?

Обычно "майор" пугает уголовной ответственностью для сотрудников компании, говорит о каких-то переводах денег на Украину через фирму и прочий страшный бред.
Ну, а дальше классический финансовый сценарий, нужно "защитить" деньги отправив их на специальный (мошеннический) счет, снизить кредитный потенциал набрав еще и кредитов, и прочее, прочее, прочее.

Попытки таких атак уже были во множестве госструктур и крупных компаний, например, буквально вчера об этом рассказал директор по безопасности Redmond Иван Бируля, на нашем общем эфире, посвященном социальной инженерии. Их атаковали, но неудачно. Также редакция канала слышала и об атаках на государственные структуры. Наше дело предупредить, в целом схема та же, но чуть больше первоначальной разведки, и чуть иное начало.

Главное - в любой непонятной ситуации все также Бросайте трубку!

Jabber.ru (xmpp.ru) скомпрометирован без взлома серверов.

Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.

Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.

Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.

А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.

Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!

Иллюзия нашей неуязвимости

Кто предупрежден, тот защищен - не про социальную инженерию. Любой из нас, включая меня - автора этих строк может повестись на схему мошенников. МОжно даже повестись на скрип, который ты знаешь и сам разбирал, вопрос в том, что для этого нужно?

Нужно подходящее состояние жертвы, мы уже много раз про это писали, особенно в старой статье про правило 7%. Состояние грусти/эйфории, стресса, снижают критическое мышление. И специалисты Центробанка, переводят мошенникам, назвавшимися их коллегами, деньги! И специалисты по кибербезу переводят, вот свежий пример.

51-летний преподаватель по кибербезопасности из одного из технических университетов Кемерова попался на удочку мошеннического колл-центра. Его заставили перевести все деньги, которые у него были. А дальше, чтобы "снизить кредитный потенциал, для защиты от того, что мошенники от вашего лица наберут кредиты", заставили продать машину и самому взять несколько займов в различных банках! Полная сумма ущерба около 4 миллионов рублей.

Поэтому, коллеги, помните, что даже мы уязвимы, все мы люди. Any system is vulnerable.

Жареный петух клюнул!

Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.

https://plusworld.ru/articles/57398/