"Окажите содействие товарищу майору!"
Новый скрипт от мошеннических колл-центров набирает обороты. Теперь уже звонят по компаниям/госструктурам/организациям, но не сразу. Сначала на телефон сотрудника в одном из мессенджеров приходит сообщение от контакта с фотографией его руководителя и с ФИО его руководителя. Конечно же, диалог будет пустой, ведь это не настоящий аккаунт, а ново созданный фейк. Фото взято из открытых источников, ФИО тоже, а рассылка идет по всем сотрудникам. Зачастую даже не разбираются чем именно сотрудник занимается, писали и тем, кто работает в отделе кибербеза.
В диалоге "руководитель" краток и пишет, что дело крайне срочное, под угрозой вся компания и сейчас с сотрудником свяжется представитель ФСБ/МВД/СК и товарищу майору Петрову/Иванову/Кузнецову обязательно нужно оказать всяческое содействие! Не успеет жертва прочитать сообщение, как "майор" уже звонит, и продолжает запугивать, не давая времени на то, чтобы проверить диалог и обдумать, а что вообще происходит?
Обычно "майор" пугает уголовной ответственностью для сотрудников компании, говорит о каких-то переводах денег на Украину через фирму и прочий страшный бред.
Ну, а дальше классический финансовый сценарий, нужно "защитить" деньги отправив их на специальный (мошеннический) счет, снизить кредитный потенциал набрав еще и кредитов, и прочее, прочее, прочее.
Попытки таких атак уже были во множестве госструктур и крупных компаний, например, буквально вчера об этом рассказал директор по безопасности Redmond Иван Бируля, на нашем общем эфире, посвященном социальной инженерии. Их атаковали, но неудачно. Также редакция канала слышала и об атаках на государственные структуры. Наше дело предупредить, в целом схема та же, но чуть больше первоначальной разведки, и чуть иное начало.
Главное - в любой непонятной ситуации все также Бросайте трубку!
Новый скрипт от мошеннических колл-центров набирает обороты. Теперь уже звонят по компаниям/госструктурам/организациям, но не сразу. Сначала на телефон сотрудника в одном из мессенджеров приходит сообщение от контакта с фотографией его руководителя и с ФИО его руководителя. Конечно же, диалог будет пустой, ведь это не настоящий аккаунт, а ново созданный фейк. Фото взято из открытых источников, ФИО тоже, а рассылка идет по всем сотрудникам. Зачастую даже не разбираются чем именно сотрудник занимается, писали и тем, кто работает в отделе кибербеза.
В диалоге "руководитель" краток и пишет, что дело крайне срочное, под угрозой вся компания и сейчас с сотрудником свяжется представитель ФСБ/МВД/СК и товарищу майору Петрову/Иванову/Кузнецову обязательно нужно оказать всяческое содействие! Не успеет жертва прочитать сообщение, как "майор" уже звонит, и продолжает запугивать, не давая времени на то, чтобы проверить диалог и обдумать, а что вообще происходит?
Обычно "майор" пугает уголовной ответственностью для сотрудников компании, говорит о каких-то переводах денег на Украину через фирму и прочий страшный бред.
Ну, а дальше классический финансовый сценарий, нужно "защитить" деньги отправив их на специальный (мошеннический) счет, снизить кредитный потенциал набрав еще и кредитов, и прочее, прочее, прочее.
Попытки таких атак уже были во множестве госструктур и крупных компаний, например, буквально вчера об этом рассказал директор по безопасности Redmond Иван Бируля, на нашем общем эфире, посвященном социальной инженерии. Их атаковали, но неудачно. Также редакция канала слышала и об атаках на государственные структуры. Наше дело предупредить, в целом схема та же, но чуть больше первоначальной разведки, и чуть иное начало.
Главное - в любой непонятной ситуации все также Бросайте трубку!
Telegram
3side кибербезопасности
Вам звонят из банка/полиции/ФСБ, просят что-то сжечь?! Что происходит?
Типичная ситуация, с неизвестных номеров звонили уже почти каждому.
Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей.
Кто они?…
Типичная ситуация, с неизвестных номеров звонили уже почти каждому.
Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей.
Кто они?…
🔥9👍8❤2😁2🤔1🤬1
Jabber.ru (xmpp.ru) скомпрометирован без взлома серверов.
Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.
Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.
Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.
А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.
Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!
Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.
Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.
Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.
А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.
Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!
www.opennet.ru
Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные…
🔥12👍4
Иллюзия нашей неуязвимости
Кто предупрежден, тот защищен - не про социальную инженерию. Любой из нас, включая меня - автора этих строк может повестись на схему мошенников. МОжно даже повестись на скрип, который ты знаешь и сам разбирал, вопрос в том, что для этого нужно?
Нужно подходящее состояние жертвы, мы уже много раз про это писали, особенно в старой статье про правило 7%. Состояние грусти/эйфории, стресса, снижают критическое мышление. И специалисты Центробанка, переводят мошенникам, назвавшимися их коллегами, деньги! И специалисты по кибербезу переводят, вот свежий пример.
51-летний преподаватель по кибербезопасности из одного из технических университетов Кемерова попался на удочку мошеннического колл-центра. Его заставили перевести все деньги, которые у него были. А дальше, чтобы "снизить кредитный потенциал, для защиты от того, что мошенники от вашего лица наберут кредиты", заставили продать машину и самому взять несколько займов в различных банках! Полная сумма ущерба около 4 миллионов рублей.
Поэтому, коллеги, помните, что даже мы уязвимы, все мы люди. Any system is vulnerable.
Кто предупрежден, тот защищен - не про социальную инженерию. Любой из нас, включая меня - автора этих строк может повестись на схему мошенников. МОжно даже повестись на скрип, который ты знаешь и сам разбирал, вопрос в том, что для этого нужно?
Нужно подходящее состояние жертвы, мы уже много раз про это писали, особенно в старой статье про правило 7%. Состояние грусти/эйфории, стресса, снижают критическое мышление. И специалисты Центробанка, переводят мошенникам, назвавшимися их коллегами, деньги! И специалисты по кибербезу переводят, вот свежий пример.
51-летний преподаватель по кибербезопасности из одного из технических университетов Кемерова попался на удочку мошеннического колл-центра. Его заставили перевести все деньги, которые у него были. А дальше, чтобы "снизить кредитный потенциал, для защиты от того, что мошенники от вашего лица наберут кредиты", заставили продать машину и самому взять несколько займов в различных банках! Полная сумма ущерба около 4 миллионов рублей.
Поэтому, коллеги, помните, что даже мы уязвимы, все мы люди. Any system is vulnerable.
Telegram
3side кибербезопасности
Правило 7%.
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять…
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять…
🤔11🔥6👍2👎1
Жареный петух клюнул!
Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.
https://plusworld.ru/articles/57398/
Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.
https://plusworld.ru/articles/57398/
Plus World
Пентест не «для галочки», или совмещаем нужное с полезным
Тестирование на проникновение (пентест) – широко известный метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника – позволяет выявить уязвимости и получить объективную оценку защищенности компании. О практике…
👍12🔥4
Скоро год — полет нормальный
Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо.
Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим.
Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать.
Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей.
Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон.
В общем, такие дела. Все неплохо — а будет еще лучше!
Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо.
Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим.
Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать.
Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей.
Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон.
В общем, такие дела. Все неплохо — а будет еще лучше!
👍35🔥2🤔1👨💻1
Через неделю мы презентуем исследование на Цифротехе
Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно.
Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)
Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно.
Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)
ctexpo.ru
International Exhibition of Digital Technologies DIGITECH
Международный форум
👍8🔥3
Ключи у всех на виду
Классический защищенный способ подключения - это SSH ключи.
С помощью них удобно и подключаться к серверам и код на GitHub отправлять.
Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим?
Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr.
Кратко ее резюме такого:
- Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности.
- Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает.
- К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет.
В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам.
Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.
Классический защищенный способ подключения - это SSH ключи.
С помощью них удобно и подключаться к серверам и код на GitHub отправлять.
Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим?
Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr.
Кратко ее резюме такого:
- Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности.
- Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает.
- К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет.
В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам.
Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.
Хабр
Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов
Недавно в своих ежедневных чтениях я наткнулся на явление, о котором думал уже много лет: феномен утечки информации людей, использующих SSH. Этот тип утечки информации не является новым явлением. Я...
🔥11👍10👨💻1
Завтра презентуем наше с АСИ исследование на Цифротехе!
Наша секция "Кибербезопасность малого и среднего предпринимательства"
Велком!
Наша секция "Кибербезопасность малого и среднего предпринимательства"
Велком!
🔥7👍4
Какие ваши доказательства?
Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании.
При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было.
Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS?
Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!
Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании.
При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было.
Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS?
Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!
👍14😁3🔥2🤔1
Встреча DEFCON Russia на площадке Samokat.tech
Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии.
Поговорим в формате диалога о том:
- Как составлять сценарии и скрипты для звонков?
- Как прогнозировать эффективность сценариев?
- На какие механизмы человеческой психики опираться при их составлении?
- Какие состояния и факторы влияют на восприимчивость?
- Как обходить триггеры жертвы?
- Как защищаться от подобного вам и вашим коллегам?
Организаторы говорили что-то о пицце и напитках на афтепати😉
Регистрируйтесь, пока еще есть места!
Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии.
Поговорим в формате диалога о том:
- Как составлять сценарии и скрипты для звонков?
- Как прогнозировать эффективность сценариев?
- На какие механизмы человеческой психики опираться при их составлении?
- Какие состояния и факторы влияют на восприимчивость?
- Как обходить триггеры жертвы?
- Как защищаться от подобного вам и вашим коллегам?
Организаторы говорили что-то о пицце и напитках на афтепати😉
Регистрируйтесь, пока еще есть места!
🔥8👍2
IOS 17 Bluetooth Crash
Во многих каналах пару недель назад писали о том, что в одну из экспериментальных прошивок на хакерский мультитул Flipper Zero добавили несколько функций спама по Bluetooth.
Можно спамить на Андроид, IOS и даже Windows. Но мало кто писал, что туда и добавили функцию DOS на новейшие прошивки Apple. Я решил ее проверить.
Прошивку на флиппер можно скачать тут, главное скачайте dev версию и соберите, а не из релизов. Что я и сделал.
Обновил IOS до последней версии, скриншот прилагаю.
И запустил атаку! В результате чего телефон моментально завис на пару минут, а далее выключился, и включился еще через пару минут. В результате на 5 минут телефон оказался полностью в нерабочем состоянии.
Интересно Apple планирует с этим что-то делать? Ведь по умолчанию Bluetooth включен у многих, в первую очередь для связки с наушниками и часами. А значит запустив такую атаку в метро, я выключу все айфоны в радиусе нескольких десятков метров.
На Android и Windows устройства добавлены только спам атаки, генерирующие кучу фейковых подключений, что тоже неприятно, но не так критично.
Во многих каналах пару недель назад писали о том, что в одну из экспериментальных прошивок на хакерский мультитул Flipper Zero добавили несколько функций спама по Bluetooth.
Можно спамить на Андроид, IOS и даже Windows. Но мало кто писал, что туда и добавили функцию DOS на новейшие прошивки Apple. Я решил ее проверить.
Прошивку на флиппер можно скачать тут, главное скачайте dev версию и соберите, а не из релизов. Что я и сделал.
Обновил IOS до последней версии, скриншот прилагаю.
И запустил атаку! В результате чего телефон моментально завис на пару минут, а далее выключился, и включился еще через пару минут. В результате на 5 минут телефон оказался полностью в нерабочем состоянии.
Интересно Apple планирует с этим что-то делать? Ведь по умолчанию Bluetooth включен у многих, в первую очередь для связки с наушниками и часами. А значит запустив такую атаку в метро, я выключу все айфоны в радиусе нескольких десятков метров.
На Android и Windows устройства добавлены только спам атаки, генерирующие кучу фейковых подключений, что тоже неприятно, но не так критично.
🔥27👍4👨💻2❤1
Малые и средние предприятия. Не если взломают, а когда! — исследование 3side и АСИ
Мы тут вместе с АСИ (Агентство Стратегических Инициатив) сделали первое в России детальное исследование защищенности МСП. Результаты выложим отдельной презентацией, но пока это выглядит так — 45% опрошенных сталкивались с проблемами за последний год, 30% из них понесли значимый ущерб.
А все потому, что долгое время МСП были никому не интересны. Хактивизма активного не было, киберкриминалу было выгоднее гоняться за крупными компаниями зачастую не менее уязвимыми. А конкурентам? Есть гораздо более простые способы устроить проблемы, или шпионить.
Теперь же все изменилось, и мы доносим эту простую мысль до МСП, как когда-то около 20 лет назад ее доносили наши старшие коллеги до крупного бизнеса.
Мы с Агентством Стратегических Инициатив провели первое в России исследование кибербезопасности МСП, которое на днях будет выложено на канале. Оно анонимное, абсолютно некоммерческое, его результаты будут доступны всем.
Пока распространяем его анонс.
Кто если не мы? Ведь только наши услуги по кибербезопасности доступны МСП по цене!
Мы тут вместе с АСИ (Агентство Стратегических Инициатив) сделали первое в России детальное исследование защищенности МСП. Результаты выложим отдельной презентацией, но пока это выглядит так — 45% опрошенных сталкивались с проблемами за последний год, 30% из них понесли значимый ущерб.
А все потому, что долгое время МСП были никому не интересны. Хактивизма активного не было, киберкриминалу было выгоднее гоняться за крупными компаниями зачастую не менее уязвимыми. А конкурентам? Есть гораздо более простые способы устроить проблемы, или шпионить.
Теперь же все изменилось, и мы доносим эту простую мысль до МСП, как когда-то около 20 лет назад ее доносили наши старшие коллеги до крупного бизнеса.
Мы с Агентством Стратегических Инициатив провели первое в России исследование кибербезопасности МСП, которое на днях будет выложено на канале. Оно анонимное, абсолютно некоммерческое, его результаты будут доступны всем.
Пока распространяем его анонс.
Кто если не мы? Ведь только наши услуги по кибербезопасности доступны МСП по цене!
Агентство стратегических инициатив
АСИ разработает стандарты кибербезопасности для малых и средних предприятий
Для большинства субъектов малого и среднего бизнеса актуальны меры поддержки в области кибербезопасности. Более 40 % компаний заинтересованы в программах по информированию в этой сфере. Такие данные получены по результатам опроса 700 компаний из торговли…
👍10❤1🔥1
Любое решение - провал для Intel
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.
Downfall Attacks
Downfall attacks targets a critical weakness found in billions of modern processors used in personal and cloud computers.
🔥14👍9🤔4
КиберПросвет на отраслевых конференциях
Коллеги из кибербеза постоянно выступают на профильных конференциях, и иногда на IT-конференциях. Но редко кого встретишь на конференциях других индустрий. Почему? Ну, наверное, считают, что не целевая аудитория.
Для нас же подобный опыт важен, в первую очередь просвещением и аудиторией, для которой ИБ — это что-то достаточно новое и необычное.
Недавно Антон выступил на конференции по арбитражу траффика BroConf 2 (31 октября - 1 ноября, МТС Холл). Почти у каждой компании там есть веб-приложения, безопасностью которых они не знают, как заниматься. Зачем ей вообще заниматься, кстати, тоже часто не знают. Ну и поголовно говорили в кулуарах о рисках мошенничества со стороны своих сотрудников или партнеров. А что с этим делать? Почти никто не задумывается всерьез, индустрия молодая и еще не набившая всех шишек классического финтеха.
Надеемся, что получилось им дать комплексное понимание, что такое кибербез, как верно оценить риски и как начать заниматься безопасностью. Кажется, аудитория была в восторге!)
Коллеги из кибербеза постоянно выступают на профильных конференциях, и иногда на IT-конференциях. Но редко кого встретишь на конференциях других индустрий. Почему? Ну, наверное, считают, что не целевая аудитория.
Для нас же подобный опыт важен, в первую очередь просвещением и аудиторией, для которой ИБ — это что-то достаточно новое и необычное.
Недавно Антон выступил на конференции по арбитражу траффика BroConf 2 (31 октября - 1 ноября, МТС Холл). Почти у каждой компании там есть веб-приложения, безопасностью которых они не знают, как заниматься. Зачем ей вообще заниматься, кстати, тоже часто не знают. Ну и поголовно говорили в кулуарах о рисках мошенничества со стороны своих сотрудников или партнеров. А что с этим делать? Почти никто не задумывается всерьез, индустрия молодая и еще не набившая всех шишек классического финтеха.
Надеемся, что получилось им дать комплексное понимание, что такое кибербез, как верно оценить риски и как начать заниматься безопасностью. Кажется, аудитория была в восторге!)
👍13🔥1
Безопасность биометрии непохожа на безопасность паролей.
Написали об этом статью для молодого медиа вАЙТИ.
Написали об этом статью для молодого медиа вАЙТИ.
😁38🔥5🗿2👨💻1
$1.7 миллиона за легальный взлом.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.
👍18🔥1
Прайс на расшифровку от киберкриминала
Тут коллеги опубликовали прайс-лист в % от годовой выручки, который распространители вредоносного ПО LockBit должны выставлять своим жертвам. Выглядит внушительно:
- 3-10% для компаний с годовой выручкой до 100 млн долларов
- 0,5-5% для компаний с выручкой до 1 млрд долларов
- 0,1-3% для компаний с выручкой свыше 1 млрд долларов
То есть от 3 до 50 миллионов долларов за кибератаку. Пересчитайте, как говорится, на рубли — вам не понравится. А ведь это не весь ущерб, как минимум добавляем туда репутационный ущерб и ущерб от простоя до момента расшифровки. Рынок рансома не просто структурируется, он уже давно считает собственные финмодели и выход на окупаемость. А шанс, что распространителей удастся найти, а выкуп удастся вернуть - околонулевой.
Для понимания — это пороговые значения, которые разработчики вредоносного ПО LockBit установили для своих "партнеров", всех тех кого они привлекают к распространению их вредоноса в рамках "партнерской программы". То есть вот буквально — если вы работаете на нашем ПО, то выкуп должен быть таким, скидки возможны, но не более 50%, и так далее, и тому подобное. То есть по-сути, именно разработчики вредоносного ПО диктуют условия рынку. Такие дела.
После этого попробуйте оценить, сколько должна стоить защита, чтобы она окупалась. Ну и почему на рынке так или иначе нужно страхование ИБ-рисков. К слову, мы уверены, что в России через пару лет оно появится.
А вдогонку к прошлому посту, вознаграждение за реализацию недопустимых событий в рамках легальной деятельности должны быть тоже сопоставимы.
Тут коллеги опубликовали прайс-лист в % от годовой выручки, который распространители вредоносного ПО LockBit должны выставлять своим жертвам. Выглядит внушительно:
- 3-10% для компаний с годовой выручкой до 100 млн долларов
- 0,5-5% для компаний с выручкой до 1 млрд долларов
- 0,1-3% для компаний с выручкой свыше 1 млрд долларов
То есть от 3 до 50 миллионов долларов за кибератаку. Пересчитайте, как говорится, на рубли — вам не понравится. А ведь это не весь ущерб, как минимум добавляем туда репутационный ущерб и ущерб от простоя до момента расшифровки. Рынок рансома не просто структурируется, он уже давно считает собственные финмодели и выход на окупаемость. А шанс, что распространителей удастся найти, а выкуп удастся вернуть - околонулевой.
Для понимания — это пороговые значения, которые разработчики вредоносного ПО LockBit установили для своих "партнеров", всех тех кого они привлекают к распространению их вредоноса в рамках "партнерской программы". То есть вот буквально — если вы работаете на нашем ПО, то выкуп должен быть таким, скидки возможны, но не более 50%, и так далее, и тому подобное. То есть по-сути, именно разработчики вредоносного ПО диктуют условия рынку. Такие дела.
После этого попробуйте оценить, сколько должна стоить защита, чтобы она окупалась. Ну и почему на рынке так или иначе нужно страхование ИБ-рисков. К слову, мы уверены, что в России через пару лет оно появится.
А вдогонку к прошлому посту, вознаграждение за реализацию недопустимых событий в рамках легальной деятельности должны быть тоже сопоставимы.
Telegram
SecAtor
В киберподполье жизнь бьет ключом.
Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.
Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила…
Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.
Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила…
👍12🔥4
Сезон выступлений продолжается
17 ноября выступал в питерском офисе Samokat.tech на встрече DEFCON Russia. Говорили о психологических аспектах социальной инженерии.
Попал я на мероприятие в последний момент, тайминг был непредсказуемый, поэтому вместо формата доклада запланировали формат диалога с залом. И диалог удался! Я и не ожидал такого активного участия, спасибо, было очень приятно для вас выступать.
Ну и я еще раз подтвердил свою теорию, что эта тема, совершенно нераскрытая в докладах/выступлениях/воркшопах на ИБ/IT конференция, слушателям крайне интересна. Буду исправлять, как минимум во вторник (28 ноября) на Highload, а дальше есть в планах даже воркшоп где-нибудь. Не стоит забывать, что в социо-техническом тестировании на проникновение важна и "социо" часть)
17 ноября выступал в питерском офисе Samokat.tech на встрече DEFCON Russia. Говорили о психологических аспектах социальной инженерии.
Попал я на мероприятие в последний момент, тайминг был непредсказуемый, поэтому вместо формата доклада запланировали формат диалога с залом. И диалог удался! Я и не ожидал такого активного участия, спасибо, было очень приятно для вас выступать.
Ну и я еще раз подтвердил свою теорию, что эта тема, совершенно нераскрытая в докладах/выступлениях/воркшопах на ИБ/IT конференция, слушателям крайне интересна. Буду исправлять, как минимум во вторник (28 ноября) на Highload, а дальше есть в планах даже воркшоп где-нибудь. Не стоит забывать, что в социо-техническом тестировании на проникновение важна и "социо" часть)
highload.ru
Антон Бочкарев на HighLoad++ 2023
Легендарный Кевин Митник рассказывал о своем практическом опыте социальной инженерии. Мы же, проводя проекты по социо-техническому тестированию на проникновение, в какой-то степени лишь повторяем его сценарии или сценарии коллег. Но почему? Потому что мы отталкиваемся…
👍10🔥5👨💻2
Любая система уязвима
Биткойн кошельки множество лет считались неприступными. Сильная математика в основе криптографии защищала кошельки от взлома пароля. Защищала и от самих несчастных владельцев, которые пытались восстановить доступ забыв/удалив свой сохранённый пароль. Сколько биткойнов остались заблокированными на кошельках 2011-2015 года? Очень и очень много, ведь тогда их добыча была проще. Всего баланс кошельков тех годов оценивается в 1,4 миллиона биткойнов.
Теперь же пароли от кошельков 2011-2015 годов можно попробовать восстановить с помощью эксплойта Randstorm. Как обнаружили исследователи компании Unciphered, специализирующейся на восстановлении криптовалют, при созданием кошельков с помощью Open-source библиотеки BitcoinJS генерировались недостаточно случайные ключи шифрования. Цепочка зависимостей там сложная, BitcoinJS использовала библиотеку JSBN со уязвимой функцией SecureRandom(), которая в свою очередь усиливалась недостатками другой функции Math.random(), используемой в браузерах.
В результате ключ шифрования генерировался не совсем случайно и перебрать его стало возможно, особенно просто для ключей сгенерированных до марта 2012 года. В дальнейшем BitcoinJS перестали использовать библиотеку JSBN и цепочка уязвимостей прервалась. Как защитить уже созданные в тот период кошельки?
Создать новый кошелек и перевести средства, иначе никак.
Любая система уязвима, даже если сейчас кажется, что это не так.
Биткойн кошельки множество лет считались неприступными. Сильная математика в основе криптографии защищала кошельки от взлома пароля. Защищала и от самих несчастных владельцев, которые пытались восстановить доступ забыв/удалив свой сохранённый пароль. Сколько биткойнов остались заблокированными на кошельках 2011-2015 года? Очень и очень много, ведь тогда их добыча была проще. Всего баланс кошельков тех годов оценивается в 1,4 миллиона биткойнов.
Теперь же пароли от кошельков 2011-2015 годов можно попробовать восстановить с помощью эксплойта Randstorm. Как обнаружили исследователи компании Unciphered, специализирующейся на восстановлении криптовалют, при созданием кошельков с помощью Open-source библиотеки BitcoinJS генерировались недостаточно случайные ключи шифрования. Цепочка зависимостей там сложная, BitcoinJS использовала библиотеку JSBN со уязвимой функцией SecureRandom(), которая в свою очередь усиливалась недостатками другой функции Math.random(), используемой в браузерах.
В результате ключ шифрования генерировался не совсем случайно и перебрать его стало возможно, особенно просто для ключей сгенерированных до марта 2012 года. В дальнейшем BitcoinJS перестали использовать библиотеку JSBN и цепочка уязвимостей прервалась. Как защитить уже созданные в тот период кошельки?
Создать новый кошелек и перевести средства, иначе никак.
Любая система уязвима, даже если сейчас кажется, что это не так.
👍17🔥7❤1