DirtyNIB — Apple не исправили 0-day за 2 года.
Тут один исследователь рассказал офигенную историю. Если коротко: он обнаружил, что в пакетах приложений в macOS можно подменить NIB-файлы, и они выполнятся в обход существующих методов защиты!
Впервые он сообщил об этой проблеме в Apple еще в ноябре 2021 года. После обмена МНОГИМИ электронными письмами он получил несколько подтверждений того, что проблема будет исправлена. Но за два года все попытки как-то исправить уязвимость были лишь косметическими, она до сих пор работает с минимальным изменением способа эксплуатации и пережила выход аж двух новых версий MacOS (Ventura, Sonoma)!
В итоге исследователь решил, что выполнил все правила ответственного раскрытия и опубликовал новость в своем блоге. Таким образом он надеется повлиять на Apple и поспособствовать скорейшему закрытию уязвимости.
Крайне осуждаем Apple за это!
Тут один исследователь рассказал офигенную историю. Если коротко: он обнаружил, что в пакетах приложений в macOS можно подменить NIB-файлы, и они выполнятся в обход существующих методов защиты!
Впервые он сообщил об этой проблеме в Apple еще в ноябре 2021 года. После обмена МНОГИМИ электронными письмами он получил несколько подтверждений того, что проблема будет исправлена. Но за два года все попытки как-то исправить уязвимость были лишь косметическими, она до сих пор работает с минимальным изменением способа эксплуатации и пережила выход аж двух новых версий MacOS (Ventura, Sonoma)!
В итоге исследователь решил, что выполнил все правила ответственного раскрытия и опубликовал новость в своем блоге. Таким образом он надеется повлиять на Apple и поспособствовать скорейшему закрытию уязвимости.
Крайне осуждаем Apple за это!
XPN InfoSec Blog
@_xpn_ - MacOS "DirtyNIB" Vulnerability
While looking for avenues of injecting code into platform binaries back in macOS Monterey, I was able to identify a vulnerability which allowed the hijacking of Apple application ennoscriptments. Recently I decided to revisit this vulnerability after a long…
🔥15👍3🤡1
Хактивизм и кнопка «нарушить закон»
Иногда достаточно осмысленно нажать одну единственную кнопку, чтобы нарушить закон и с определенной вероятностью за это сесть в тюрьму. Но давайте по порядку.
Хактивизм - использование незаконными способами компьютеров и компьютерных сетей для продвижения каких-либо идей. Способ известный еще с 2010ых со времен первых хактивистких атак от Anonymous и именно тогда за участие в хактивизме свободы лишились подростки/домохозяйки и прочие сочувствующие, которые не имея никаких специальных знаний поучаствовали в DDoS атаках.
Как они это сделали? С помощью ПО LOIC (Low Orbit Ion Cannon), которое требовалось лишь скачать, вбить адрес цели, который предоставляли Anonymous и нажать кнопку "GHARGING MY LASER". Все, компьютер начал участвовать в атаке генерируя запросы к серверу-жертве. Участие в атаке, умысел больше и не нужно ничего, чтобы за это осудить, что и было сделано.
Ну а что сейчас? В 2023 году LOIC регулярно распространяют с теми же самыми целями, и в виде отдельного ПО, и в виде web-версии. Например, есть такой сайт, запущенный буквально позавчера fuck-hamas[.]com для атак из браузера на сайты СМИ ХАМАС. Пока кнопка нажата, и вкладка браузера открыта, браузер участвует в атаке и подставляет владельца. Правда эффективность за более чем 10 лет у LOIC сильно снизилась, современные системы очистки трафика довольно просто отсекают подобное, но если сделать упор на массовость какие-то ресурсы уложить можно.
Не стоит думать, что участников много и вас просто не заметят. Какие бы цели не декларировались, не стоит нарушать закон.
#3side_безполитики
Иногда достаточно осмысленно нажать одну единственную кнопку, чтобы нарушить закон и с определенной вероятностью за это сесть в тюрьму. Но давайте по порядку.
Хактивизм - использование незаконными способами компьютеров и компьютерных сетей для продвижения каких-либо идей. Способ известный еще с 2010ых со времен первых хактивистких атак от Anonymous и именно тогда за участие в хактивизме свободы лишились подростки/домохозяйки и прочие сочувствующие, которые не имея никаких специальных знаний поучаствовали в DDoS атаках.
Как они это сделали? С помощью ПО LOIC (Low Orbit Ion Cannon), которое требовалось лишь скачать, вбить адрес цели, который предоставляли Anonymous и нажать кнопку "GHARGING MY LASER". Все, компьютер начал участвовать в атаке генерируя запросы к серверу-жертве. Участие в атаке, умысел больше и не нужно ничего, чтобы за это осудить, что и было сделано.
Ну а что сейчас? В 2023 году LOIC регулярно распространяют с теми же самыми целями, и в виде отдельного ПО, и в виде web-версии. Например, есть такой сайт, запущенный буквально позавчера fuck-hamas[.]com для атак из браузера на сайты СМИ ХАМАС. Пока кнопка нажата, и вкладка браузера открыта, браузер участвует в атаке и подставляет владельца. Правда эффективность за более чем 10 лет у LOIC сильно снизилась, современные системы очистки трафика довольно просто отсекают подобное, но если сделать упор на массовость какие-то ресурсы уложить можно.
Не стоит думать, что участников много и вас просто не заметят. Какие бы цели не декларировались, не стоит нарушать закон.
#3side_безполитики
🔥17👍13🤡1
С NetNTLM на Kerberos за 23 года?
Уязвимости и недостатки сетевого протокола NTLM (NT LAN Manager) были известны Майкрософт и всем исследователям с момента его появления в 1990 году. А более защищенный и современный протокол аутентификации Kerberos стал протоколом по умолчанию в Windows с 2000 года. Но что мы видим до сих пор? Сетевые атаки на все еще использующийся NTLM, все еще в топе у злоумышленников и пентестеров, потому что они эффективны и работают практически везде. Протокол работает в сетях "на всякий случай" и для поддержки ПО, которое старше автора данного поста.
Теперь же Майкрософт предлагает окончательно отправить устаревший протокол на свалку истории, а Kerberos дополнительно усилить. Интересно, сколько он еще проживет в сетях компаний с той же формулировкой "на всякий случай" или "чтоб точно все работало"?
Вечность.
Уязвимости и недостатки сетевого протокола NTLM (NT LAN Manager) были известны Майкрософт и всем исследователям с момента его появления в 1990 году. А более защищенный и современный протокол аутентификации Kerberos стал протоколом по умолчанию в Windows с 2000 года. Но что мы видим до сих пор? Сетевые атаки на все еще использующийся NTLM, все еще в топе у злоумышленников и пентестеров, потому что они эффективны и работают практически везде. Протокол работает в сетях "на всякий случай" и для поддержки ПО, которое старше автора данного поста.
Теперь же Майкрософт предлагает окончательно отправить устаревший протокол на свалку истории, а Kerberos дополнительно усилить. Интересно, сколько он еще проживет в сетях компаний с той же формулировкой "на всякий случай" или "чтоб точно все работало"?
Вечность.
TECHCOMMUNITY.MICROSOFT.COM
The evolution of Windows authentication | Windows IT Pro Blog
Discover how we’re securing authentication and reducing NTLM usage in Windows.
👍9🔥4
Не надо изобретать способы взлома — про СМИ и фишинг
Тут одно крупное СМИ написало пост про взломы тг-каналов. К сожалению, специалисты в ИБ несколько удивлены формулировками в нем, а реальная ситуация там иная. Произошедшее скорее всего стало результатом классической проблемы — фишинга. Пишут, что "схема взлома несложная", но в действительности ее никто в мире до сих пор не смог реализовать. Для этого нужна 0day уязвимость в телеграмме или современных браузерах, стоимостью ну так около 1 миллиона долларов. И атаковать с ее помощью локальные ТГ-каналы просто нерационально.
А что же было на самом деле?
В даты взлома одному из администраторов новостного канала дружественного редакции 3side пришла классическая фишинговая ссылка под предлогом закупки рекламы. Ссылка выглядела следующим образом "https://tgstat[.]name/channel/XXX" c подставленным именем канала. Сайт по ссылке мимикрировал под известный агрегатор статистики и провоцировала жертву "залогиниться через Телеграм", после чего и доступ к каналу появлялся у злоумышленников. Администратор на фишинг не купился, а отправил ссылку нам на изучение.
Все просто, банальный фишинг, а не выдуманная 1-click уяeзвимость. Скорее всего, подобную схему, только под иным предлогом и с другой маскировкой использовали и в массовом взломе. Ничего нового.
Мы еще раз призываем всех журналистов, делающих хорошую и серьезную работу (а мы знаем, что нас читают в совершенно разных СМИ), в подобных ситуациях обращаться к индустрии. Дело касается не только ИБ, а практически любой области. Мы прекрасно понимаем, что нельзя быть специалистом во всем — но только коммуникации с профессионалами в любой сфере помогут сделать действительно качественный и интересный материал.
А заодно и количество подобных инцидентов помогут сократить.
UPD. Коллеги уточняют, что возможно использовался и второй вектор с вредоносным самораспаковывающимся архивом. Но и тут, архив нужно скачать и запустить распаковку, никакого 1-click по ссылке.
Тут одно крупное СМИ написало пост про взломы тг-каналов. К сожалению, специалисты в ИБ несколько удивлены формулировками в нем, а реальная ситуация там иная. Произошедшее скорее всего стало результатом классической проблемы — фишинга. Пишут, что "схема взлома несложная", но в действительности ее никто в мире до сих пор не смог реализовать. Для этого нужна 0day уязвимость в телеграмме или современных браузерах, стоимостью ну так около 1 миллиона долларов. И атаковать с ее помощью локальные ТГ-каналы просто нерационально.
А что же было на самом деле?
В даты взлома одному из администраторов новостного канала дружественного редакции 3side пришла классическая фишинговая ссылка под предлогом закупки рекламы. Ссылка выглядела следующим образом "https://tgstat[.]name/channel/XXX" c подставленным именем канала. Сайт по ссылке мимикрировал под известный агрегатор статистики и провоцировала жертву "залогиниться через Телеграм", после чего и доступ к каналу появлялся у злоумышленников. Администратор на фишинг не купился, а отправил ссылку нам на изучение.
Все просто, банальный фишинг, а не выдуманная 1-click уяeзвимость. Скорее всего, подобную схему, только под иным предлогом и с другой маскировкой использовали и в массовом взломе. Ничего нового.
Мы еще раз призываем всех журналистов, делающих хорошую и серьезную работу (а мы знаем, что нас читают в совершенно разных СМИ), в подобных ситуациях обращаться к индустрии. Дело касается не только ИБ, а практически любой области. Мы прекрасно понимаем, что нельзя быть специалистом во всем — но только коммуникации с профессионалами в любой сфере помогут сделать действительно качественный и интересный материал.
А заодно и количество подобных инцидентов помогут сократить.
UPD. Коллеги уточняют, что возможно использовался и второй вектор с вредоносным самораспаковывающимся архивом. Но и тут, архив нужно скачать и запустить распаковку, никакого 1-click по ссылке.
Telegram
Readovka
Этой ночью российские Telegram-каналы подверглись массовому хакерскому взлому — к утру доступ ко многим из них уже восстановлен
Этой ночью, по предварительным данным, украинские хакеры атаковали пророссийский медиасегмент в Telegram. Схема взлома несложная:…
Этой ночью, по предварительным данным, украинские хакеры атаковали пророссийский медиасегмент в Telegram. Схема взлома несложная:…
👍13🔥3
3side кибербезопасности
Не надо изобретать способы взлома — про СМИ и фишинг Тут одно крупное СМИ написало пост про взломы тг-каналов. К сожалению, специалисты в ИБ несколько удивлены формулировками в нем, а реальная ситуация там иная. Произошедшее скорее всего стало результатом…
Атака на цепочку поставок
В дополнение к нашему прошлому посту. Как нам подсказал наш подписчик, к основному успеху злоумышленники, взломавшие множество ТГ каналов, пришли вовсе не через фишинг. Взломанные каналы пользовались сервисом отложенного постинга и автосообщений SmmBox.
Злоумышленники обнаружили в сервисе уязвимость, которая позволяла подобрать токен к странице настройки канала. Где в свою очередь отображался токен для управления ТГ канала! Да, без маскирования. Таким образом был осуществлен перебор множества токенов и были получены доступы ко множеству клиентов SmmBox. Особо стоит отметить, что токены хранились и у не активных клиентов.
Сервис признал свои ошибки, выпустил пресс-релиз и работает над их устранением! Это несмотря на то, что компания достаточно маленькая. Пример множеству компаний, которые все отрицают и ничего не делают для оповещения атакованных клиентов.
Видимо, именно после взлома SmmBox остальные векторы атак (фишинг, вредоносный архив) стали не актуальны и их свернули.
Администраторам каналов - будьте внимательны к своим контрагентам, которым вы выдаёте доступы.
Владельцам ботов - вы ответственны за данные ваших клиентов и доступы к их каналам, поэтому вам придется заниматься безопасностью.
За информацию спасибо подписчику и его каналу.
В дополнение к нашему прошлому посту. Как нам подсказал наш подписчик, к основному успеху злоумышленники, взломавшие множество ТГ каналов, пришли вовсе не через фишинг. Взломанные каналы пользовались сервисом отложенного постинга и автосообщений SmmBox.
Злоумышленники обнаружили в сервисе уязвимость, которая позволяла подобрать токен к странице настройки канала. Где в свою очередь отображался токен для управления ТГ канала! Да, без маскирования. Таким образом был осуществлен перебор множества токенов и были получены доступы ко множеству клиентов SmmBox. Особо стоит отметить, что токены хранились и у не активных клиентов.
Сервис признал свои ошибки, выпустил пресс-релиз и работает над их устранением! Это несмотря на то, что компания достаточно маленькая. Пример множеству компаний, которые все отрицают и ничего не делают для оповещения атакованных клиентов.
Видимо, именно после взлома SmmBox остальные векторы атак (фишинг, вредоносный архив) стали не актуальны и их свернули.
Администраторам каналов - будьте внимательны к своим контрагентам, которым вы выдаёте доступы.
Владельцам ботов - вы ответственны за данные ваших клиентов и доступы к их каналам, поэтому вам придется заниматься безопасностью.
За информацию спасибо подписчику и его каналу.
VK
SmmBox - автопостинг, отложенный постинг. Запись со стены.
На связи Павел — основатель SmmBox.
Первое, что хочу сделать — извиниться. Понимаю всю серьез... Смотрите полностью ВКонтакте.
Первое, что хочу сделать — извиниться. Понимаю всю серьез... Смотрите полностью ВКонтакте.
🔥10👍4
"Окажите содействие товарищу майору!"
Новый скрипт от мошеннических колл-центров набирает обороты. Теперь уже звонят по компаниям/госструктурам/организациям, но не сразу. Сначала на телефон сотрудника в одном из мессенджеров приходит сообщение от контакта с фотографией его руководителя и с ФИО его руководителя. Конечно же, диалог будет пустой, ведь это не настоящий аккаунт, а ново созданный фейк. Фото взято из открытых источников, ФИО тоже, а рассылка идет по всем сотрудникам. Зачастую даже не разбираются чем именно сотрудник занимается, писали и тем, кто работает в отделе кибербеза.
В диалоге "руководитель" краток и пишет, что дело крайне срочное, под угрозой вся компания и сейчас с сотрудником свяжется представитель ФСБ/МВД/СК и товарищу майору Петрову/Иванову/Кузнецову обязательно нужно оказать всяческое содействие! Не успеет жертва прочитать сообщение, как "майор" уже звонит, и продолжает запугивать, не давая времени на то, чтобы проверить диалог и обдумать, а что вообще происходит?
Обычно "майор" пугает уголовной ответственностью для сотрудников компании, говорит о каких-то переводах денег на Украину через фирму и прочий страшный бред.
Ну, а дальше классический финансовый сценарий, нужно "защитить" деньги отправив их на специальный (мошеннический) счет, снизить кредитный потенциал набрав еще и кредитов, и прочее, прочее, прочее.
Попытки таких атак уже были во множестве госструктур и крупных компаний, например, буквально вчера об этом рассказал директор по безопасности Redmond Иван Бируля, на нашем общем эфире, посвященном социальной инженерии. Их атаковали, но неудачно. Также редакция канала слышала и об атаках на государственные структуры. Наше дело предупредить, в целом схема та же, но чуть больше первоначальной разведки, и чуть иное начало.
Главное - в любой непонятной ситуации все также Бросайте трубку!
Новый скрипт от мошеннических колл-центров набирает обороты. Теперь уже звонят по компаниям/госструктурам/организациям, но не сразу. Сначала на телефон сотрудника в одном из мессенджеров приходит сообщение от контакта с фотографией его руководителя и с ФИО его руководителя. Конечно же, диалог будет пустой, ведь это не настоящий аккаунт, а ново созданный фейк. Фото взято из открытых источников, ФИО тоже, а рассылка идет по всем сотрудникам. Зачастую даже не разбираются чем именно сотрудник занимается, писали и тем, кто работает в отделе кибербеза.
В диалоге "руководитель" краток и пишет, что дело крайне срочное, под угрозой вся компания и сейчас с сотрудником свяжется представитель ФСБ/МВД/СК и товарищу майору Петрову/Иванову/Кузнецову обязательно нужно оказать всяческое содействие! Не успеет жертва прочитать сообщение, как "майор" уже звонит, и продолжает запугивать, не давая времени на то, чтобы проверить диалог и обдумать, а что вообще происходит?
Обычно "майор" пугает уголовной ответственностью для сотрудников компании, говорит о каких-то переводах денег на Украину через фирму и прочий страшный бред.
Ну, а дальше классический финансовый сценарий, нужно "защитить" деньги отправив их на специальный (мошеннический) счет, снизить кредитный потенциал набрав еще и кредитов, и прочее, прочее, прочее.
Попытки таких атак уже были во множестве госструктур и крупных компаний, например, буквально вчера об этом рассказал директор по безопасности Redmond Иван Бируля, на нашем общем эфире, посвященном социальной инженерии. Их атаковали, но неудачно. Также редакция канала слышала и об атаках на государственные структуры. Наше дело предупредить, в целом схема та же, но чуть больше первоначальной разведки, и чуть иное начало.
Главное - в любой непонятной ситуации все также Бросайте трубку!
Telegram
3side кибербезопасности
Вам звонят из банка/полиции/ФСБ, просят что-то сжечь?! Что происходит?
Типичная ситуация, с неизвестных номеров звонили уже почти каждому.
Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей.
Кто они?…
Типичная ситуация, с неизвестных номеров звонили уже почти каждому.
Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей.
Кто они?…
🔥9👍8❤2😁2🤔1🤬1
Jabber.ru (xmpp.ru) скомпрометирован без взлома серверов.
Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.
Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.
Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.
А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.
Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!
Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.
Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.
Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.
А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.
Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!
www.opennet.ru
Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные…
🔥12👍4
Иллюзия нашей неуязвимости
Кто предупрежден, тот защищен - не про социальную инженерию. Любой из нас, включая меня - автора этих строк может повестись на схему мошенников. МОжно даже повестись на скрип, который ты знаешь и сам разбирал, вопрос в том, что для этого нужно?
Нужно подходящее состояние жертвы, мы уже много раз про это писали, особенно в старой статье про правило 7%. Состояние грусти/эйфории, стресса, снижают критическое мышление. И специалисты Центробанка, переводят мошенникам, назвавшимися их коллегами, деньги! И специалисты по кибербезу переводят, вот свежий пример.
51-летний преподаватель по кибербезопасности из одного из технических университетов Кемерова попался на удочку мошеннического колл-центра. Его заставили перевести все деньги, которые у него были. А дальше, чтобы "снизить кредитный потенциал, для защиты от того, что мошенники от вашего лица наберут кредиты", заставили продать машину и самому взять несколько займов в различных банках! Полная сумма ущерба около 4 миллионов рублей.
Поэтому, коллеги, помните, что даже мы уязвимы, все мы люди. Any system is vulnerable.
Кто предупрежден, тот защищен - не про социальную инженерию. Любой из нас, включая меня - автора этих строк может повестись на схему мошенников. МОжно даже повестись на скрип, который ты знаешь и сам разбирал, вопрос в том, что для этого нужно?
Нужно подходящее состояние жертвы, мы уже много раз про это писали, особенно в старой статье про правило 7%. Состояние грусти/эйфории, стресса, снижают критическое мышление. И специалисты Центробанка, переводят мошенникам, назвавшимися их коллегами, деньги! И специалисты по кибербезу переводят, вот свежий пример.
51-летний преподаватель по кибербезопасности из одного из технических университетов Кемерова попался на удочку мошеннического колл-центра. Его заставили перевести все деньги, которые у него были. А дальше, чтобы "снизить кредитный потенциал, для защиты от того, что мошенники от вашего лица наберут кредиты", заставили продать машину и самому взять несколько займов в различных банках! Полная сумма ущерба около 4 миллионов рублей.
Поэтому, коллеги, помните, что даже мы уязвимы, все мы люди. Any system is vulnerable.
Telegram
3side кибербезопасности
Правило 7%.
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять…
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять…
🤔11🔥6👍2👎1
Жареный петух клюнул!
Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.
https://plusworld.ru/articles/57398/
Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.
https://plusworld.ru/articles/57398/
Plus World
Пентест не «для галочки», или совмещаем нужное с полезным
Тестирование на проникновение (пентест) – широко известный метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника – позволяет выявить уязвимости и получить объективную оценку защищенности компании. О практике…
👍12🔥4
Скоро год — полет нормальный
Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо.
Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим.
Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать.
Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей.
Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон.
В общем, такие дела. Все неплохо — а будет еще лучше!
Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо.
Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим.
Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать.
Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей.
Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон.
В общем, такие дела. Все неплохо — а будет еще лучше!
👍35🔥2🤔1👨💻1
Через неделю мы презентуем исследование на Цифротехе
Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно.
Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)
Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно.
Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)
ctexpo.ru
International Exhibition of Digital Technologies DIGITECH
Международный форум
👍8🔥3
Ключи у всех на виду
Классический защищенный способ подключения - это SSH ключи.
С помощью них удобно и подключаться к серверам и код на GitHub отправлять.
Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим?
Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr.
Кратко ее резюме такого:
- Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности.
- Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает.
- К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет.
В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам.
Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.
Классический защищенный способ подключения - это SSH ключи.
С помощью них удобно и подключаться к серверам и код на GitHub отправлять.
Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим?
Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr.
Кратко ее резюме такого:
- Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности.
- Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает.
- К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет.
В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам.
Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.
Хабр
Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов
Недавно в своих ежедневных чтениях я наткнулся на явление, о котором думал уже много лет: феномен утечки информации людей, использующих SSH. Этот тип утечки информации не является новым явлением. Я...
🔥11👍10👨💻1
Завтра презентуем наше с АСИ исследование на Цифротехе!
Наша секция "Кибербезопасность малого и среднего предпринимательства"
Велком!
Наша секция "Кибербезопасность малого и среднего предпринимательства"
Велком!
🔥7👍4
Какие ваши доказательства?
Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании.
При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было.
Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS?
Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!
Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании.
При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было.
Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS?
Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!
👍14😁3🔥2🤔1
Встреча DEFCON Russia на площадке Samokat.tech
Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии.
Поговорим в формате диалога о том:
- Как составлять сценарии и скрипты для звонков?
- Как прогнозировать эффективность сценариев?
- На какие механизмы человеческой психики опираться при их составлении?
- Какие состояния и факторы влияют на восприимчивость?
- Как обходить триггеры жертвы?
- Как защищаться от подобного вам и вашим коллегам?
Организаторы говорили что-то о пицце и напитках на афтепати😉
Регистрируйтесь, пока еще есть места!
Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии.
Поговорим в формате диалога о том:
- Как составлять сценарии и скрипты для звонков?
- Как прогнозировать эффективность сценариев?
- На какие механизмы человеческой психики опираться при их составлении?
- Какие состояния и факторы влияют на восприимчивость?
- Как обходить триггеры жертвы?
- Как защищаться от подобного вам и вашим коллегам?
Организаторы говорили что-то о пицце и напитках на афтепати😉
Регистрируйтесь, пока еще есть места!
🔥8👍2
IOS 17 Bluetooth Crash
Во многих каналах пару недель назад писали о том, что в одну из экспериментальных прошивок на хакерский мультитул Flipper Zero добавили несколько функций спама по Bluetooth.
Можно спамить на Андроид, IOS и даже Windows. Но мало кто писал, что туда и добавили функцию DOS на новейшие прошивки Apple. Я решил ее проверить.
Прошивку на флиппер можно скачать тут, главное скачайте dev версию и соберите, а не из релизов. Что я и сделал.
Обновил IOS до последней версии, скриншот прилагаю.
И запустил атаку! В результате чего телефон моментально завис на пару минут, а далее выключился, и включился еще через пару минут. В результате на 5 минут телефон оказался полностью в нерабочем состоянии.
Интересно Apple планирует с этим что-то делать? Ведь по умолчанию Bluetooth включен у многих, в первую очередь для связки с наушниками и часами. А значит запустив такую атаку в метро, я выключу все айфоны в радиусе нескольких десятков метров.
На Android и Windows устройства добавлены только спам атаки, генерирующие кучу фейковых подключений, что тоже неприятно, но не так критично.
Во многих каналах пару недель назад писали о том, что в одну из экспериментальных прошивок на хакерский мультитул Flipper Zero добавили несколько функций спама по Bluetooth.
Можно спамить на Андроид, IOS и даже Windows. Но мало кто писал, что туда и добавили функцию DOS на новейшие прошивки Apple. Я решил ее проверить.
Прошивку на флиппер можно скачать тут, главное скачайте dev версию и соберите, а не из релизов. Что я и сделал.
Обновил IOS до последней версии, скриншот прилагаю.
И запустил атаку! В результате чего телефон моментально завис на пару минут, а далее выключился, и включился еще через пару минут. В результате на 5 минут телефон оказался полностью в нерабочем состоянии.
Интересно Apple планирует с этим что-то делать? Ведь по умолчанию Bluetooth включен у многих, в первую очередь для связки с наушниками и часами. А значит запустив такую атаку в метро, я выключу все айфоны в радиусе нескольких десятков метров.
На Android и Windows устройства добавлены только спам атаки, генерирующие кучу фейковых подключений, что тоже неприятно, но не так критично.
🔥27👍4👨💻2❤1
Малые и средние предприятия. Не если взломают, а когда! — исследование 3side и АСИ
Мы тут вместе с АСИ (Агентство Стратегических Инициатив) сделали первое в России детальное исследование защищенности МСП. Результаты выложим отдельной презентацией, но пока это выглядит так — 45% опрошенных сталкивались с проблемами за последний год, 30% из них понесли значимый ущерб.
А все потому, что долгое время МСП были никому не интересны. Хактивизма активного не было, киберкриминалу было выгоднее гоняться за крупными компаниями зачастую не менее уязвимыми. А конкурентам? Есть гораздо более простые способы устроить проблемы, или шпионить.
Теперь же все изменилось, и мы доносим эту простую мысль до МСП, как когда-то около 20 лет назад ее доносили наши старшие коллеги до крупного бизнеса.
Мы с Агентством Стратегических Инициатив провели первое в России исследование кибербезопасности МСП, которое на днях будет выложено на канале. Оно анонимное, абсолютно некоммерческое, его результаты будут доступны всем.
Пока распространяем его анонс.
Кто если не мы? Ведь только наши услуги по кибербезопасности доступны МСП по цене!
Мы тут вместе с АСИ (Агентство Стратегических Инициатив) сделали первое в России детальное исследование защищенности МСП. Результаты выложим отдельной презентацией, но пока это выглядит так — 45% опрошенных сталкивались с проблемами за последний год, 30% из них понесли значимый ущерб.
А все потому, что долгое время МСП были никому не интересны. Хактивизма активного не было, киберкриминалу было выгоднее гоняться за крупными компаниями зачастую не менее уязвимыми. А конкурентам? Есть гораздо более простые способы устроить проблемы, или шпионить.
Теперь же все изменилось, и мы доносим эту простую мысль до МСП, как когда-то около 20 лет назад ее доносили наши старшие коллеги до крупного бизнеса.
Мы с Агентством Стратегических Инициатив провели первое в России исследование кибербезопасности МСП, которое на днях будет выложено на канале. Оно анонимное, абсолютно некоммерческое, его результаты будут доступны всем.
Пока распространяем его анонс.
Кто если не мы? Ведь только наши услуги по кибербезопасности доступны МСП по цене!
Агентство стратегических инициатив
АСИ разработает стандарты кибербезопасности для малых и средних предприятий
Для большинства субъектов малого и среднего бизнеса актуальны меры поддержки в области кибербезопасности. Более 40 % компаний заинтересованы в программах по информированию в этой сфере. Такие данные получены по результатам опроса 700 компаний из торговли…
👍10❤1🔥1
Любое решение - провал для Intel
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.
Downfall Attacks
Downfall attacks targets a critical weakness found in billions of modern processors used in personal and cloud computers.
🔥14👍9🤔4
КиберПросвет на отраслевых конференциях
Коллеги из кибербеза постоянно выступают на профильных конференциях, и иногда на IT-конференциях. Но редко кого встретишь на конференциях других индустрий. Почему? Ну, наверное, считают, что не целевая аудитория.
Для нас же подобный опыт важен, в первую очередь просвещением и аудиторией, для которой ИБ — это что-то достаточно новое и необычное.
Недавно Антон выступил на конференции по арбитражу траффика BroConf 2 (31 октября - 1 ноября, МТС Холл). Почти у каждой компании там есть веб-приложения, безопасностью которых они не знают, как заниматься. Зачем ей вообще заниматься, кстати, тоже часто не знают. Ну и поголовно говорили в кулуарах о рисках мошенничества со стороны своих сотрудников или партнеров. А что с этим делать? Почти никто не задумывается всерьез, индустрия молодая и еще не набившая всех шишек классического финтеха.
Надеемся, что получилось им дать комплексное понимание, что такое кибербез, как верно оценить риски и как начать заниматься безопасностью. Кажется, аудитория была в восторге!)
Коллеги из кибербеза постоянно выступают на профильных конференциях, и иногда на IT-конференциях. Но редко кого встретишь на конференциях других индустрий. Почему? Ну, наверное, считают, что не целевая аудитория.
Для нас же подобный опыт важен, в первую очередь просвещением и аудиторией, для которой ИБ — это что-то достаточно новое и необычное.
Недавно Антон выступил на конференции по арбитражу траффика BroConf 2 (31 октября - 1 ноября, МТС Холл). Почти у каждой компании там есть веб-приложения, безопасностью которых они не знают, как заниматься. Зачем ей вообще заниматься, кстати, тоже часто не знают. Ну и поголовно говорили в кулуарах о рисках мошенничества со стороны своих сотрудников или партнеров. А что с этим делать? Почти никто не задумывается всерьез, индустрия молодая и еще не набившая всех шишек классического финтеха.
Надеемся, что получилось им дать комплексное понимание, что такое кибербез, как верно оценить риски и как начать заниматься безопасностью. Кажется, аудитория была в восторге!)
👍13🔥1