Жареный петух клюнул!
Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.
https://plusworld.ru/articles/57398/
Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.
https://plusworld.ru/articles/57398/
Plus World
Пентест не «для галочки», или совмещаем нужное с полезным
Тестирование на проникновение (пентест) – широко известный метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника – позволяет выявить уязвимости и получить объективную оценку защищенности компании. О практике…
👍12🔥4
Скоро год — полет нормальный
Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо.
Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим.
Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать.
Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей.
Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон.
В общем, такие дела. Все неплохо — а будет еще лучше!
Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо.
Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим.
Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать.
Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей.
Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон.
В общем, такие дела. Все неплохо — а будет еще лучше!
👍35🔥2🤔1👨💻1
Через неделю мы презентуем исследование на Цифротехе
Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно.
Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)
Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно.
Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)
ctexpo.ru
International Exhibition of Digital Technologies DIGITECH
Международный форум
👍8🔥3
Ключи у всех на виду
Классический защищенный способ подключения - это SSH ключи.
С помощью них удобно и подключаться к серверам и код на GitHub отправлять.
Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим?
Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr.
Кратко ее резюме такого:
- Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности.
- Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает.
- К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет.
В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам.
Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.
Классический защищенный способ подключения - это SSH ключи.
С помощью них удобно и подключаться к серверам и код на GitHub отправлять.
Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим?
Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr.
Кратко ее резюме такого:
- Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности.
- Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает.
- К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет.
В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам.
Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.
Хабр
Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов
Недавно в своих ежедневных чтениях я наткнулся на явление, о котором думал уже много лет: феномен утечки информации людей, использующих SSH. Этот тип утечки информации не является новым явлением. Я...
🔥11👍10👨💻1
Завтра презентуем наше с АСИ исследование на Цифротехе!
Наша секция "Кибербезопасность малого и среднего предпринимательства"
Велком!
Наша секция "Кибербезопасность малого и среднего предпринимательства"
Велком!
🔥7👍4
Какие ваши доказательства?
Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании.
При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было.
Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS?
Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!
Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании.
При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было.
Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS?
Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!
👍14😁3🔥2🤔1
Встреча DEFCON Russia на площадке Samokat.tech
Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии.
Поговорим в формате диалога о том:
- Как составлять сценарии и скрипты для звонков?
- Как прогнозировать эффективность сценариев?
- На какие механизмы человеческой психики опираться при их составлении?
- Какие состояния и факторы влияют на восприимчивость?
- Как обходить триггеры жертвы?
- Как защищаться от подобного вам и вашим коллегам?
Организаторы говорили что-то о пицце и напитках на афтепати😉
Регистрируйтесь, пока еще есть места!
Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии.
Поговорим в формате диалога о том:
- Как составлять сценарии и скрипты для звонков?
- Как прогнозировать эффективность сценариев?
- На какие механизмы человеческой психики опираться при их составлении?
- Какие состояния и факторы влияют на восприимчивость?
- Как обходить триггеры жертвы?
- Как защищаться от подобного вам и вашим коллегам?
Организаторы говорили что-то о пицце и напитках на афтепати😉
Регистрируйтесь, пока еще есть места!
🔥8👍2
IOS 17 Bluetooth Crash
Во многих каналах пару недель назад писали о том, что в одну из экспериментальных прошивок на хакерский мультитул Flipper Zero добавили несколько функций спама по Bluetooth.
Можно спамить на Андроид, IOS и даже Windows. Но мало кто писал, что туда и добавили функцию DOS на новейшие прошивки Apple. Я решил ее проверить.
Прошивку на флиппер можно скачать тут, главное скачайте dev версию и соберите, а не из релизов. Что я и сделал.
Обновил IOS до последней версии, скриншот прилагаю.
И запустил атаку! В результате чего телефон моментально завис на пару минут, а далее выключился, и включился еще через пару минут. В результате на 5 минут телефон оказался полностью в нерабочем состоянии.
Интересно Apple планирует с этим что-то делать? Ведь по умолчанию Bluetooth включен у многих, в первую очередь для связки с наушниками и часами. А значит запустив такую атаку в метро, я выключу все айфоны в радиусе нескольких десятков метров.
На Android и Windows устройства добавлены только спам атаки, генерирующие кучу фейковых подключений, что тоже неприятно, но не так критично.
Во многих каналах пару недель назад писали о том, что в одну из экспериментальных прошивок на хакерский мультитул Flipper Zero добавили несколько функций спама по Bluetooth.
Можно спамить на Андроид, IOS и даже Windows. Но мало кто писал, что туда и добавили функцию DOS на новейшие прошивки Apple. Я решил ее проверить.
Прошивку на флиппер можно скачать тут, главное скачайте dev версию и соберите, а не из релизов. Что я и сделал.
Обновил IOS до последней версии, скриншот прилагаю.
И запустил атаку! В результате чего телефон моментально завис на пару минут, а далее выключился, и включился еще через пару минут. В результате на 5 минут телефон оказался полностью в нерабочем состоянии.
Интересно Apple планирует с этим что-то делать? Ведь по умолчанию Bluetooth включен у многих, в первую очередь для связки с наушниками и часами. А значит запустив такую атаку в метро, я выключу все айфоны в радиусе нескольких десятков метров.
На Android и Windows устройства добавлены только спам атаки, генерирующие кучу фейковых подключений, что тоже неприятно, но не так критично.
🔥27👍4👨💻2❤1
Малые и средние предприятия. Не если взломают, а когда! — исследование 3side и АСИ
Мы тут вместе с АСИ (Агентство Стратегических Инициатив) сделали первое в России детальное исследование защищенности МСП. Результаты выложим отдельной презентацией, но пока это выглядит так — 45% опрошенных сталкивались с проблемами за последний год, 30% из них понесли значимый ущерб.
А все потому, что долгое время МСП были никому не интересны. Хактивизма активного не было, киберкриминалу было выгоднее гоняться за крупными компаниями зачастую не менее уязвимыми. А конкурентам? Есть гораздо более простые способы устроить проблемы, или шпионить.
Теперь же все изменилось, и мы доносим эту простую мысль до МСП, как когда-то около 20 лет назад ее доносили наши старшие коллеги до крупного бизнеса.
Мы с Агентством Стратегических Инициатив провели первое в России исследование кибербезопасности МСП, которое на днях будет выложено на канале. Оно анонимное, абсолютно некоммерческое, его результаты будут доступны всем.
Пока распространяем его анонс.
Кто если не мы? Ведь только наши услуги по кибербезопасности доступны МСП по цене!
Мы тут вместе с АСИ (Агентство Стратегических Инициатив) сделали первое в России детальное исследование защищенности МСП. Результаты выложим отдельной презентацией, но пока это выглядит так — 45% опрошенных сталкивались с проблемами за последний год, 30% из них понесли значимый ущерб.
А все потому, что долгое время МСП были никому не интересны. Хактивизма активного не было, киберкриминалу было выгоднее гоняться за крупными компаниями зачастую не менее уязвимыми. А конкурентам? Есть гораздо более простые способы устроить проблемы, или шпионить.
Теперь же все изменилось, и мы доносим эту простую мысль до МСП, как когда-то около 20 лет назад ее доносили наши старшие коллеги до крупного бизнеса.
Мы с Агентством Стратегических Инициатив провели первое в России исследование кибербезопасности МСП, которое на днях будет выложено на канале. Оно анонимное, абсолютно некоммерческое, его результаты будут доступны всем.
Пока распространяем его анонс.
Кто если не мы? Ведь только наши услуги по кибербезопасности доступны МСП по цене!
Агентство стратегических инициатив
АСИ разработает стандарты кибербезопасности для малых и средних предприятий
Для большинства субъектов малого и среднего бизнеса актуальны меры поддержки в области кибербезопасности. Более 40 % компаний заинтересованы в программах по информированию в этой сфере. Такие данные получены по результатам опроса 700 компаний из торговли…
👍10❤1🔥1
Любое решение - провал для Intel
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.
Downfall Attacks
Downfall attacks targets a critical weakness found in billions of modern processors used in personal and cloud computers.
🔥14👍9🤔4
КиберПросвет на отраслевых конференциях
Коллеги из кибербеза постоянно выступают на профильных конференциях, и иногда на IT-конференциях. Но редко кого встретишь на конференциях других индустрий. Почему? Ну, наверное, считают, что не целевая аудитория.
Для нас же подобный опыт важен, в первую очередь просвещением и аудиторией, для которой ИБ — это что-то достаточно новое и необычное.
Недавно Антон выступил на конференции по арбитражу траффика BroConf 2 (31 октября - 1 ноября, МТС Холл). Почти у каждой компании там есть веб-приложения, безопасностью которых они не знают, как заниматься. Зачем ей вообще заниматься, кстати, тоже часто не знают. Ну и поголовно говорили в кулуарах о рисках мошенничества со стороны своих сотрудников или партнеров. А что с этим делать? Почти никто не задумывается всерьез, индустрия молодая и еще не набившая всех шишек классического финтеха.
Надеемся, что получилось им дать комплексное понимание, что такое кибербез, как верно оценить риски и как начать заниматься безопасностью. Кажется, аудитория была в восторге!)
Коллеги из кибербеза постоянно выступают на профильных конференциях, и иногда на IT-конференциях. Но редко кого встретишь на конференциях других индустрий. Почему? Ну, наверное, считают, что не целевая аудитория.
Для нас же подобный опыт важен, в первую очередь просвещением и аудиторией, для которой ИБ — это что-то достаточно новое и необычное.
Недавно Антон выступил на конференции по арбитражу траффика BroConf 2 (31 октября - 1 ноября, МТС Холл). Почти у каждой компании там есть веб-приложения, безопасностью которых они не знают, как заниматься. Зачем ей вообще заниматься, кстати, тоже часто не знают. Ну и поголовно говорили в кулуарах о рисках мошенничества со стороны своих сотрудников или партнеров. А что с этим делать? Почти никто не задумывается всерьез, индустрия молодая и еще не набившая всех шишек классического финтеха.
Надеемся, что получилось им дать комплексное понимание, что такое кибербез, как верно оценить риски и как начать заниматься безопасностью. Кажется, аудитория была в восторге!)
👍13🔥1
Безопасность биометрии непохожа на безопасность паролей.
Написали об этом статью для молодого медиа вАЙТИ.
Написали об этом статью для молодого медиа вАЙТИ.
😁38🔥5🗿2👨💻1
$1.7 миллиона за легальный взлом.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.
👍18🔥1
Прайс на расшифровку от киберкриминала
Тут коллеги опубликовали прайс-лист в % от годовой выручки, который распространители вредоносного ПО LockBit должны выставлять своим жертвам. Выглядит внушительно:
- 3-10% для компаний с годовой выручкой до 100 млн долларов
- 0,5-5% для компаний с выручкой до 1 млрд долларов
- 0,1-3% для компаний с выручкой свыше 1 млрд долларов
То есть от 3 до 50 миллионов долларов за кибератаку. Пересчитайте, как говорится, на рубли — вам не понравится. А ведь это не весь ущерб, как минимум добавляем туда репутационный ущерб и ущерб от простоя до момента расшифровки. Рынок рансома не просто структурируется, он уже давно считает собственные финмодели и выход на окупаемость. А шанс, что распространителей удастся найти, а выкуп удастся вернуть - околонулевой.
Для понимания — это пороговые значения, которые разработчики вредоносного ПО LockBit установили для своих "партнеров", всех тех кого они привлекают к распространению их вредоноса в рамках "партнерской программы". То есть вот буквально — если вы работаете на нашем ПО, то выкуп должен быть таким, скидки возможны, но не более 50%, и так далее, и тому подобное. То есть по-сути, именно разработчики вредоносного ПО диктуют условия рынку. Такие дела.
После этого попробуйте оценить, сколько должна стоить защита, чтобы она окупалась. Ну и почему на рынке так или иначе нужно страхование ИБ-рисков. К слову, мы уверены, что в России через пару лет оно появится.
А вдогонку к прошлому посту, вознаграждение за реализацию недопустимых событий в рамках легальной деятельности должны быть тоже сопоставимы.
Тут коллеги опубликовали прайс-лист в % от годовой выручки, который распространители вредоносного ПО LockBit должны выставлять своим жертвам. Выглядит внушительно:
- 3-10% для компаний с годовой выручкой до 100 млн долларов
- 0,5-5% для компаний с выручкой до 1 млрд долларов
- 0,1-3% для компаний с выручкой свыше 1 млрд долларов
То есть от 3 до 50 миллионов долларов за кибератаку. Пересчитайте, как говорится, на рубли — вам не понравится. А ведь это не весь ущерб, как минимум добавляем туда репутационный ущерб и ущерб от простоя до момента расшифровки. Рынок рансома не просто структурируется, он уже давно считает собственные финмодели и выход на окупаемость. А шанс, что распространителей удастся найти, а выкуп удастся вернуть - околонулевой.
Для понимания — это пороговые значения, которые разработчики вредоносного ПО LockBit установили для своих "партнеров", всех тех кого они привлекают к распространению их вредоноса в рамках "партнерской программы". То есть вот буквально — если вы работаете на нашем ПО, то выкуп должен быть таким, скидки возможны, но не более 50%, и так далее, и тому подобное. То есть по-сути, именно разработчики вредоносного ПО диктуют условия рынку. Такие дела.
После этого попробуйте оценить, сколько должна стоить защита, чтобы она окупалась. Ну и почему на рынке так или иначе нужно страхование ИБ-рисков. К слову, мы уверены, что в России через пару лет оно появится.
А вдогонку к прошлому посту, вознаграждение за реализацию недопустимых событий в рамках легальной деятельности должны быть тоже сопоставимы.
Telegram
SecAtor
В киберподполье жизнь бьет ключом.
Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.
Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила…
Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.
Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила…
👍12🔥4
Сезон выступлений продолжается
17 ноября выступал в питерском офисе Samokat.tech на встрече DEFCON Russia. Говорили о психологических аспектах социальной инженерии.
Попал я на мероприятие в последний момент, тайминг был непредсказуемый, поэтому вместо формата доклада запланировали формат диалога с залом. И диалог удался! Я и не ожидал такого активного участия, спасибо, было очень приятно для вас выступать.
Ну и я еще раз подтвердил свою теорию, что эта тема, совершенно нераскрытая в докладах/выступлениях/воркшопах на ИБ/IT конференция, слушателям крайне интересна. Буду исправлять, как минимум во вторник (28 ноября) на Highload, а дальше есть в планах даже воркшоп где-нибудь. Не стоит забывать, что в социо-техническом тестировании на проникновение важна и "социо" часть)
17 ноября выступал в питерском офисе Samokat.tech на встрече DEFCON Russia. Говорили о психологических аспектах социальной инженерии.
Попал я на мероприятие в последний момент, тайминг был непредсказуемый, поэтому вместо формата доклада запланировали формат диалога с залом. И диалог удался! Я и не ожидал такого активного участия, спасибо, было очень приятно для вас выступать.
Ну и я еще раз подтвердил свою теорию, что эта тема, совершенно нераскрытая в докладах/выступлениях/воркшопах на ИБ/IT конференция, слушателям крайне интересна. Буду исправлять, как минимум во вторник (28 ноября) на Highload, а дальше есть в планах даже воркшоп где-нибудь. Не стоит забывать, что в социо-техническом тестировании на проникновение важна и "социо" часть)
highload.ru
Антон Бочкарев на HighLoad++ 2023
Легендарный Кевин Митник рассказывал о своем практическом опыте социальной инженерии. Мы же, проводя проекты по социо-техническому тестированию на проникновение, в какой-то степени лишь повторяем его сценарии или сценарии коллег. Но почему? Потому что мы отталкиваемся…
👍10🔥5👨💻2
Любая система уязвима
Биткойн кошельки множество лет считались неприступными. Сильная математика в основе криптографии защищала кошельки от взлома пароля. Защищала и от самих несчастных владельцев, которые пытались восстановить доступ забыв/удалив свой сохранённый пароль. Сколько биткойнов остались заблокированными на кошельках 2011-2015 года? Очень и очень много, ведь тогда их добыча была проще. Всего баланс кошельков тех годов оценивается в 1,4 миллиона биткойнов.
Теперь же пароли от кошельков 2011-2015 годов можно попробовать восстановить с помощью эксплойта Randstorm. Как обнаружили исследователи компании Unciphered, специализирующейся на восстановлении криптовалют, при созданием кошельков с помощью Open-source библиотеки BitcoinJS генерировались недостаточно случайные ключи шифрования. Цепочка зависимостей там сложная, BitcoinJS использовала библиотеку JSBN со уязвимой функцией SecureRandom(), которая в свою очередь усиливалась недостатками другой функции Math.random(), используемой в браузерах.
В результате ключ шифрования генерировался не совсем случайно и перебрать его стало возможно, особенно просто для ключей сгенерированных до марта 2012 года. В дальнейшем BitcoinJS перестали использовать библиотеку JSBN и цепочка уязвимостей прервалась. Как защитить уже созданные в тот период кошельки?
Создать новый кошелек и перевести средства, иначе никак.
Любая система уязвима, даже если сейчас кажется, что это не так.
Биткойн кошельки множество лет считались неприступными. Сильная математика в основе криптографии защищала кошельки от взлома пароля. Защищала и от самих несчастных владельцев, которые пытались восстановить доступ забыв/удалив свой сохранённый пароль. Сколько биткойнов остались заблокированными на кошельках 2011-2015 года? Очень и очень много, ведь тогда их добыча была проще. Всего баланс кошельков тех годов оценивается в 1,4 миллиона биткойнов.
Теперь же пароли от кошельков 2011-2015 годов можно попробовать восстановить с помощью эксплойта Randstorm. Как обнаружили исследователи компании Unciphered, специализирующейся на восстановлении криптовалют, при созданием кошельков с помощью Open-source библиотеки BitcoinJS генерировались недостаточно случайные ключи шифрования. Цепочка зависимостей там сложная, BitcoinJS использовала библиотеку JSBN со уязвимой функцией SecureRandom(), которая в свою очередь усиливалась недостатками другой функции Math.random(), используемой в браузерах.
В результате ключ шифрования генерировался не совсем случайно и перебрать его стало возможно, особенно просто для ключей сгенерированных до марта 2012 года. В дальнейшем BitcoinJS перестали использовать библиотеку JSBN и цепочка уязвимостей прервалась. Как защитить уже созданные в тот период кошельки?
Создать новый кошелек и перевести средства, иначе никак.
Любая система уязвима, даже если сейчас кажется, что это не так.
👍17🔥7❤1
3side на КодИБ | ИТОГИ 2023
Мы не просто едем на большую завершающую конференцию: мы впервые вывозим на мероприятие полноценный стенд. Для нас это важный момент, и по этому поводы мы запаслись довольно провокационным мерчом для тех, кто не хочет заниматься безопасностью.
А вообще, будем рады видеть старых и новых друзей. Мероприятия Код ИБ уже давно стали для нас отличным поводом встретиться, поговорить об индустрии, найти новые полезные контакты и подвести итоги.
Приходите 7 декабря в Москве на КодИБ Итоги, будем рады пообщаться.
Мы не просто едем на большую завершающую конференцию: мы впервые вывозим на мероприятие полноценный стенд. Для нас это важный момент, и по этому поводы мы запаслись довольно провокационным мерчом для тех, кто не хочет заниматься безопасностью.
А вообще, будем рады видеть старых и новых друзей. Мероприятия Код ИБ уже давно стали для нас отличным поводом встретиться, поговорить об индустрии, найти новые полезные контакты и подвести итоги.
Приходите 7 декабря в Москве на КодИБ Итоги, будем рады пообщаться.
Код ИБ
Код ИБ | ИТОГИ 2023
👍5🔥1
Как был взломан ГЕМОТЕСТ
Студент 4 курса Санкт-Петербургского Горного университета, который явно не специализируется на информационной безопасности, Алекперов Фуад Маариф оглы взломал сеть лабораторий Гемотест и выложил базу данных всех анализов в открытый доступ. Вопрос: как он это сделал?
О самом факте взлома мы знаем наверняка из приговора суда. Сделал он это исключительно из хактивиских побуждений или любопытства, поэтому всем, кто говорит что хактивисты низкоквалифицированы и для крупных организаций не представляют серьезной угрозы, мы передаем привет. Да. Гемотест взломали не спецслужбы, ни коварные политические оппоненты. Его взломали ради процесса.
Но что еще известно об осужденном? Он постил все свои взломы себе в ТГ канал (ГЕНИАЛЬНО!), и его деанонили уже в 2020 году! Крайне рекомендуем ознакомиться со списком его жертв.
Он писал о собственном взломе:
- сервиса Сбербанка и сливе из него данных
- взломе и сливе базы РЖД-Бонус
- взломе сервера камер МФЦ
- взломе АТС компании Мегафон и доступе к разговорам абонентов
И многое другое. То есть парень-хактивист успешно ломал топовую российскую госуху. Надеемся, что 1,5 года ограничения свободы, которые ему дали, увеличат, благодаря искам вышеперечисленных компаний. А то столь настолько наглое поведение и массовое нарушение закона стоит пресекать жестче.
Для технарей и любопытствующих в приговоре есть подробнейший килл-чейн, то есть цепочка взломов которая и привела к реализации недопустимого события, собственно самому сливу базы данных. Поэтому технарям рекомендую ознакомиться, каждый шаг злоумышленника расписан, вплоть до каждого скрипта/шелла/используемого ПО.
Похоже на отчет по пентесту, вот только с убытками и без рекомендаций по устранению. А какие могут быть рекомендации? Если наглый хактивист без специального образования способен взломать столь крупные компании, стоит как минимум ответственнее относиться к ИБ. А то ваши недопустимые события, станут свершившимися.
Студент 4 курса Санкт-Петербургского Горного университета, который явно не специализируется на информационной безопасности, Алекперов Фуад Маариф оглы взломал сеть лабораторий Гемотест и выложил базу данных всех анализов в открытый доступ. Вопрос: как он это сделал?
О самом факте взлома мы знаем наверняка из приговора суда. Сделал он это исключительно из хактивиских побуждений или любопытства, поэтому всем, кто говорит что хактивисты низкоквалифицированы и для крупных организаций не представляют серьезной угрозы, мы передаем привет. Да. Гемотест взломали не спецслужбы, ни коварные политические оппоненты. Его взломали ради процесса.
Но что еще известно об осужденном? Он постил все свои взломы себе в ТГ канал (ГЕНИАЛЬНО!), и его деанонили уже в 2020 году! Крайне рекомендуем ознакомиться со списком его жертв.
Он писал о собственном взломе:
- сервиса Сбербанка и сливе из него данных
- взломе и сливе базы РЖД-Бонус
- взломе сервера камер МФЦ
- взломе АТС компании Мегафон и доступе к разговорам абонентов
И многое другое. То есть парень-хактивист успешно ломал топовую российскую госуху. Надеемся, что 1,5 года ограничения свободы, которые ему дали, увеличат, благодаря искам вышеперечисленных компаний. А то столь настолько наглое поведение и массовое нарушение закона стоит пресекать жестче.
Для технарей и любопытствующих в приговоре есть подробнейший килл-чейн, то есть цепочка взломов которая и привела к реализации недопустимого события, собственно самому сливу базы данных. Поэтому технарям рекомендую ознакомиться, каждый шаг злоумышленника расписан, вплоть до каждого скрипта/шелла/используемого ПО.
Похоже на отчет по пентесту, вот только с убытками и без рекомендаций по устранению. А какие могут быть рекомендации? Если наглый хактивист без специального образования способен взломать столь крупные компании, стоит как минимум ответственнее относиться к ИБ. А то ваши недопустимые события, станут свершившимися.
Telegraph
Алекперов Фуад Маариф оглы. Эпизоды криминальной деятельности
Данный материал является дополнением к статье (https://telegra.ph/Tureckij-gambit---DBeaconDeanon-12-07), посвящённой человеку, который активно занимается взломами сайтов, торговлей украденными данными, продажей пиратского и вредоносного ПО, а также другими…
🔥25👍11🤔6❤2
Проблема первой ссылки поисковика
Помните сервис "давай я поищу это за тебя?", там была кнопка "Мне повезет", которая открывала первую ссылку гугла.
Насколько же точно эту кнопку назвали! Качественное SEO позволяет поднять в поиске все что угодно, а временами встречаются и рекламные компании, продвигающие зараженное ПО. И вот очередной случай распространения вредоносного ПО через рекламу. Стоит подобная реклама за один клик примерно $2.
Целевая аудитория злоумышленников явно системные администраторы, поэтому и рекламировали они сисадминское бесплатное ПО WinSCP. При скачивании ПО по вредоносной ссылке на фишинговом домене winccp[.]net, настоящий WinSCP с домена winscp[.]net, конечно скачивался и даже запускалась его установка, но в параллель запускался и питон-троян.
Внимательно смотрите, откуда именно вы скачиваете ПО, не стоит доверять позиции в поиске.
Помните сервис "давай я поищу это за тебя?", там была кнопка "Мне повезет", которая открывала первую ссылку гугла.
Насколько же точно эту кнопку назвали! Качественное SEO позволяет поднять в поиске все что угодно, а временами встречаются и рекламные компании, продвигающие зараженное ПО. И вот очередной случай распространения вредоносного ПО через рекламу. Стоит подобная реклама за один клик примерно $2.
Целевая аудитория злоумышленников явно системные администраторы, поэтому и рекламировали они сисадминское бесплатное ПО WinSCP. При скачивании ПО по вредоносной ссылке на фишинговом домене winccp[.]net, настоящий WinSCP с домена winscp[.]net, конечно скачивался и даже запускалась его установка, но в параллель запускался и питон-троян.
Внимательно смотрите, откуда именно вы скачиваете ПО, не стоит доверять позиции в поиске.
Securonix
New SEO#LURKER Attack Campaign: Threat Actors Use SEO Poisoning and Fake Google Ads to Lure Victims Into Installing Malware
Explore how SEO poisoning and malvertising target WinSCP users, with insights from Securonix Threat Research on this ongoing campaign.
👍17🔥5👨💻3❤2