$1.7 миллиона за легальный взлом.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.
👍18🔥1
Прайс на расшифровку от киберкриминала
Тут коллеги опубликовали прайс-лист в % от годовой выручки, который распространители вредоносного ПО LockBit должны выставлять своим жертвам. Выглядит внушительно:
- 3-10% для компаний с годовой выручкой до 100 млн долларов
- 0,5-5% для компаний с выручкой до 1 млрд долларов
- 0,1-3% для компаний с выручкой свыше 1 млрд долларов
То есть от 3 до 50 миллионов долларов за кибератаку. Пересчитайте, как говорится, на рубли — вам не понравится. А ведь это не весь ущерб, как минимум добавляем туда репутационный ущерб и ущерб от простоя до момента расшифровки. Рынок рансома не просто структурируется, он уже давно считает собственные финмодели и выход на окупаемость. А шанс, что распространителей удастся найти, а выкуп удастся вернуть - околонулевой.
Для понимания — это пороговые значения, которые разработчики вредоносного ПО LockBit установили для своих "партнеров", всех тех кого они привлекают к распространению их вредоноса в рамках "партнерской программы". То есть вот буквально — если вы работаете на нашем ПО, то выкуп должен быть таким, скидки возможны, но не более 50%, и так далее, и тому подобное. То есть по-сути, именно разработчики вредоносного ПО диктуют условия рынку. Такие дела.
После этого попробуйте оценить, сколько должна стоить защита, чтобы она окупалась. Ну и почему на рынке так или иначе нужно страхование ИБ-рисков. К слову, мы уверены, что в России через пару лет оно появится.
А вдогонку к прошлому посту, вознаграждение за реализацию недопустимых событий в рамках легальной деятельности должны быть тоже сопоставимы.
Тут коллеги опубликовали прайс-лист в % от годовой выручки, который распространители вредоносного ПО LockBit должны выставлять своим жертвам. Выглядит внушительно:
- 3-10% для компаний с годовой выручкой до 100 млн долларов
- 0,5-5% для компаний с выручкой до 1 млрд долларов
- 0,1-3% для компаний с выручкой свыше 1 млрд долларов
То есть от 3 до 50 миллионов долларов за кибератаку. Пересчитайте, как говорится, на рубли — вам не понравится. А ведь это не весь ущерб, как минимум добавляем туда репутационный ущерб и ущерб от простоя до момента расшифровки. Рынок рансома не просто структурируется, он уже давно считает собственные финмодели и выход на окупаемость. А шанс, что распространителей удастся найти, а выкуп удастся вернуть - околонулевой.
Для понимания — это пороговые значения, которые разработчики вредоносного ПО LockBit установили для своих "партнеров", всех тех кого они привлекают к распространению их вредоноса в рамках "партнерской программы". То есть вот буквально — если вы работаете на нашем ПО, то выкуп должен быть таким, скидки возможны, но не более 50%, и так далее, и тому подобное. То есть по-сути, именно разработчики вредоносного ПО диктуют условия рынку. Такие дела.
После этого попробуйте оценить, сколько должна стоить защита, чтобы она окупалась. Ну и почему на рынке так или иначе нужно страхование ИБ-рисков. К слову, мы уверены, что в России через пару лет оно появится.
А вдогонку к прошлому посту, вознаграждение за реализацию недопустимых событий в рамках легальной деятельности должны быть тоже сопоставимы.
Telegram
SecAtor
В киберподполье жизнь бьет ключом.
Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.
Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила…
Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.
Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила…
👍12🔥4
Сезон выступлений продолжается
17 ноября выступал в питерском офисе Samokat.tech на встрече DEFCON Russia. Говорили о психологических аспектах социальной инженерии.
Попал я на мероприятие в последний момент, тайминг был непредсказуемый, поэтому вместо формата доклада запланировали формат диалога с залом. И диалог удался! Я и не ожидал такого активного участия, спасибо, было очень приятно для вас выступать.
Ну и я еще раз подтвердил свою теорию, что эта тема, совершенно нераскрытая в докладах/выступлениях/воркшопах на ИБ/IT конференция, слушателям крайне интересна. Буду исправлять, как минимум во вторник (28 ноября) на Highload, а дальше есть в планах даже воркшоп где-нибудь. Не стоит забывать, что в социо-техническом тестировании на проникновение важна и "социо" часть)
17 ноября выступал в питерском офисе Samokat.tech на встрече DEFCON Russia. Говорили о психологических аспектах социальной инженерии.
Попал я на мероприятие в последний момент, тайминг был непредсказуемый, поэтому вместо формата доклада запланировали формат диалога с залом. И диалог удался! Я и не ожидал такого активного участия, спасибо, было очень приятно для вас выступать.
Ну и я еще раз подтвердил свою теорию, что эта тема, совершенно нераскрытая в докладах/выступлениях/воркшопах на ИБ/IT конференция, слушателям крайне интересна. Буду исправлять, как минимум во вторник (28 ноября) на Highload, а дальше есть в планах даже воркшоп где-нибудь. Не стоит забывать, что в социо-техническом тестировании на проникновение важна и "социо" часть)
highload.ru
Антон Бочкарев на HighLoad++ 2023
Легендарный Кевин Митник рассказывал о своем практическом опыте социальной инженерии. Мы же, проводя проекты по социо-техническому тестированию на проникновение, в какой-то степени лишь повторяем его сценарии или сценарии коллег. Но почему? Потому что мы отталкиваемся…
👍10🔥5👨💻2
Любая система уязвима
Биткойн кошельки множество лет считались неприступными. Сильная математика в основе криптографии защищала кошельки от взлома пароля. Защищала и от самих несчастных владельцев, которые пытались восстановить доступ забыв/удалив свой сохранённый пароль. Сколько биткойнов остались заблокированными на кошельках 2011-2015 года? Очень и очень много, ведь тогда их добыча была проще. Всего баланс кошельков тех годов оценивается в 1,4 миллиона биткойнов.
Теперь же пароли от кошельков 2011-2015 годов можно попробовать восстановить с помощью эксплойта Randstorm. Как обнаружили исследователи компании Unciphered, специализирующейся на восстановлении криптовалют, при созданием кошельков с помощью Open-source библиотеки BitcoinJS генерировались недостаточно случайные ключи шифрования. Цепочка зависимостей там сложная, BitcoinJS использовала библиотеку JSBN со уязвимой функцией SecureRandom(), которая в свою очередь усиливалась недостатками другой функции Math.random(), используемой в браузерах.
В результате ключ шифрования генерировался не совсем случайно и перебрать его стало возможно, особенно просто для ключей сгенерированных до марта 2012 года. В дальнейшем BitcoinJS перестали использовать библиотеку JSBN и цепочка уязвимостей прервалась. Как защитить уже созданные в тот период кошельки?
Создать новый кошелек и перевести средства, иначе никак.
Любая система уязвима, даже если сейчас кажется, что это не так.
Биткойн кошельки множество лет считались неприступными. Сильная математика в основе криптографии защищала кошельки от взлома пароля. Защищала и от самих несчастных владельцев, которые пытались восстановить доступ забыв/удалив свой сохранённый пароль. Сколько биткойнов остались заблокированными на кошельках 2011-2015 года? Очень и очень много, ведь тогда их добыча была проще. Всего баланс кошельков тех годов оценивается в 1,4 миллиона биткойнов.
Теперь же пароли от кошельков 2011-2015 годов можно попробовать восстановить с помощью эксплойта Randstorm. Как обнаружили исследователи компании Unciphered, специализирующейся на восстановлении криптовалют, при созданием кошельков с помощью Open-source библиотеки BitcoinJS генерировались недостаточно случайные ключи шифрования. Цепочка зависимостей там сложная, BitcoinJS использовала библиотеку JSBN со уязвимой функцией SecureRandom(), которая в свою очередь усиливалась недостатками другой функции Math.random(), используемой в браузерах.
В результате ключ шифрования генерировался не совсем случайно и перебрать его стало возможно, особенно просто для ключей сгенерированных до марта 2012 года. В дальнейшем BitcoinJS перестали использовать библиотеку JSBN и цепочка уязвимостей прервалась. Как защитить уже созданные в тот период кошельки?
Создать новый кошелек и перевести средства, иначе никак.
Любая система уязвима, даже если сейчас кажется, что это не так.
👍17🔥7❤1
3side на КодИБ | ИТОГИ 2023
Мы не просто едем на большую завершающую конференцию: мы впервые вывозим на мероприятие полноценный стенд. Для нас это важный момент, и по этому поводы мы запаслись довольно провокационным мерчом для тех, кто не хочет заниматься безопасностью.
А вообще, будем рады видеть старых и новых друзей. Мероприятия Код ИБ уже давно стали для нас отличным поводом встретиться, поговорить об индустрии, найти новые полезные контакты и подвести итоги.
Приходите 7 декабря в Москве на КодИБ Итоги, будем рады пообщаться.
Мы не просто едем на большую завершающую конференцию: мы впервые вывозим на мероприятие полноценный стенд. Для нас это важный момент, и по этому поводы мы запаслись довольно провокационным мерчом для тех, кто не хочет заниматься безопасностью.
А вообще, будем рады видеть старых и новых друзей. Мероприятия Код ИБ уже давно стали для нас отличным поводом встретиться, поговорить об индустрии, найти новые полезные контакты и подвести итоги.
Приходите 7 декабря в Москве на КодИБ Итоги, будем рады пообщаться.
Код ИБ
Код ИБ | ИТОГИ 2023
👍5🔥1
Как был взломан ГЕМОТЕСТ
Студент 4 курса Санкт-Петербургского Горного университета, который явно не специализируется на информационной безопасности, Алекперов Фуад Маариф оглы взломал сеть лабораторий Гемотест и выложил базу данных всех анализов в открытый доступ. Вопрос: как он это сделал?
О самом факте взлома мы знаем наверняка из приговора суда. Сделал он это исключительно из хактивиских побуждений или любопытства, поэтому всем, кто говорит что хактивисты низкоквалифицированы и для крупных организаций не представляют серьезной угрозы, мы передаем привет. Да. Гемотест взломали не спецслужбы, ни коварные политические оппоненты. Его взломали ради процесса.
Но что еще известно об осужденном? Он постил все свои взломы себе в ТГ канал (ГЕНИАЛЬНО!), и его деанонили уже в 2020 году! Крайне рекомендуем ознакомиться со списком его жертв.
Он писал о собственном взломе:
- сервиса Сбербанка и сливе из него данных
- взломе и сливе базы РЖД-Бонус
- взломе сервера камер МФЦ
- взломе АТС компании Мегафон и доступе к разговорам абонентов
И многое другое. То есть парень-хактивист успешно ломал топовую российскую госуху. Надеемся, что 1,5 года ограничения свободы, которые ему дали, увеличат, благодаря искам вышеперечисленных компаний. А то столь настолько наглое поведение и массовое нарушение закона стоит пресекать жестче.
Для технарей и любопытствующих в приговоре есть подробнейший килл-чейн, то есть цепочка взломов которая и привела к реализации недопустимого события, собственно самому сливу базы данных. Поэтому технарям рекомендую ознакомиться, каждый шаг злоумышленника расписан, вплоть до каждого скрипта/шелла/используемого ПО.
Похоже на отчет по пентесту, вот только с убытками и без рекомендаций по устранению. А какие могут быть рекомендации? Если наглый хактивист без специального образования способен взломать столь крупные компании, стоит как минимум ответственнее относиться к ИБ. А то ваши недопустимые события, станут свершившимися.
Студент 4 курса Санкт-Петербургского Горного университета, который явно не специализируется на информационной безопасности, Алекперов Фуад Маариф оглы взломал сеть лабораторий Гемотест и выложил базу данных всех анализов в открытый доступ. Вопрос: как он это сделал?
О самом факте взлома мы знаем наверняка из приговора суда. Сделал он это исключительно из хактивиских побуждений или любопытства, поэтому всем, кто говорит что хактивисты низкоквалифицированы и для крупных организаций не представляют серьезной угрозы, мы передаем привет. Да. Гемотест взломали не спецслужбы, ни коварные политические оппоненты. Его взломали ради процесса.
Но что еще известно об осужденном? Он постил все свои взломы себе в ТГ канал (ГЕНИАЛЬНО!), и его деанонили уже в 2020 году! Крайне рекомендуем ознакомиться со списком его жертв.
Он писал о собственном взломе:
- сервиса Сбербанка и сливе из него данных
- взломе и сливе базы РЖД-Бонус
- взломе сервера камер МФЦ
- взломе АТС компании Мегафон и доступе к разговорам абонентов
И многое другое. То есть парень-хактивист успешно ломал топовую российскую госуху. Надеемся, что 1,5 года ограничения свободы, которые ему дали, увеличат, благодаря искам вышеперечисленных компаний. А то столь настолько наглое поведение и массовое нарушение закона стоит пресекать жестче.
Для технарей и любопытствующих в приговоре есть подробнейший килл-чейн, то есть цепочка взломов которая и привела к реализации недопустимого события, собственно самому сливу базы данных. Поэтому технарям рекомендую ознакомиться, каждый шаг злоумышленника расписан, вплоть до каждого скрипта/шелла/используемого ПО.
Похоже на отчет по пентесту, вот только с убытками и без рекомендаций по устранению. А какие могут быть рекомендации? Если наглый хактивист без специального образования способен взломать столь крупные компании, стоит как минимум ответственнее относиться к ИБ. А то ваши недопустимые события, станут свершившимися.
Telegraph
Алекперов Фуад Маариф оглы. Эпизоды криминальной деятельности
Данный материал является дополнением к статье (https://telegra.ph/Tureckij-gambit---DBeaconDeanon-12-07), посвящённой человеку, который активно занимается взломами сайтов, торговлей украденными данными, продажей пиратского и вредоносного ПО, а также другими…
🔥25👍11🤔6❤2
Проблема первой ссылки поисковика
Помните сервис "давай я поищу это за тебя?", там была кнопка "Мне повезет", которая открывала первую ссылку гугла.
Насколько же точно эту кнопку назвали! Качественное SEO позволяет поднять в поиске все что угодно, а временами встречаются и рекламные компании, продвигающие зараженное ПО. И вот очередной случай распространения вредоносного ПО через рекламу. Стоит подобная реклама за один клик примерно $2.
Целевая аудитория злоумышленников явно системные администраторы, поэтому и рекламировали они сисадминское бесплатное ПО WinSCP. При скачивании ПО по вредоносной ссылке на фишинговом домене winccp[.]net, настоящий WinSCP с домена winscp[.]net, конечно скачивался и даже запускалась его установка, но в параллель запускался и питон-троян.
Внимательно смотрите, откуда именно вы скачиваете ПО, не стоит доверять позиции в поиске.
Помните сервис "давай я поищу это за тебя?", там была кнопка "Мне повезет", которая открывала первую ссылку гугла.
Насколько же точно эту кнопку назвали! Качественное SEO позволяет поднять в поиске все что угодно, а временами встречаются и рекламные компании, продвигающие зараженное ПО. И вот очередной случай распространения вредоносного ПО через рекламу. Стоит подобная реклама за один клик примерно $2.
Целевая аудитория злоумышленников явно системные администраторы, поэтому и рекламировали они сисадминское бесплатное ПО WinSCP. При скачивании ПО по вредоносной ссылке на фишинговом домене winccp[.]net, настоящий WinSCP с домена winscp[.]net, конечно скачивался и даже запускалась его установка, но в параллель запускался и питон-троян.
Внимательно смотрите, откуда именно вы скачиваете ПО, не стоит доверять позиции в поиске.
Securonix
New SEO#LURKER Attack Campaign: Threat Actors Use SEO Poisoning and Fake Google Ads to Lure Victims Into Installing Malware
Explore how SEO poisoning and malvertising target WinSCP users, with insights from Securonix Threat Research on this ongoing campaign.
👍17🔥5👨💻3❤2
Убийственная публичность
Тут CNN писало, что убийство бывшего командира подводной лодки Станислава Ржицкого скорее всего стало возможным благодаря использованию им приложения для занятий спортом Strava. Погибший делился там маршрутами своих пробежек и достижениями.
А вот тут начинается самое интересное. Данные трекера были в публичном (!) доступе, ФИО, фото и ник погибшего тоже достаточно легко находились в открытом поиске. Судя по всему, кто-то сложил два и два. Вот его аккаунт.
Причем это не первая история -- раньше при помощи фитнес-браслетов и подобных трекеров находили и секретные американские базы, и маршруты пробежек американских военных. Так что ничего нового.
Так что неаккуратное обращение с некоторыми приложениями может стоит жизни. Это касается военных, некоторых бизнесменов и других лиц, чьей безопасности что-то может угрожать. В ВС РФ стараются исключить использование Whatsapp, из-за расширенного потенциального доступа к нему спецслужб. Но тут и особого доступа не нужно, все данные человек отправил сам.
В общем, людям, опасающимся за свою безопасность, точно стоит относиться к подобным безобидным приложениям очень осторожно.
#3side_безполитики
Тут CNN писало, что убийство бывшего командира подводной лодки Станислава Ржицкого скорее всего стало возможным благодаря использованию им приложения для занятий спортом Strava. Погибший делился там маршрутами своих пробежек и достижениями.
А вот тут начинается самое интересное. Данные трекера были в публичном (!) доступе, ФИО, фото и ник погибшего тоже достаточно легко находились в открытом поиске. Судя по всему, кто-то сложил два и два. Вот его аккаунт.
Причем это не первая история -- раньше при помощи фитнес-браслетов и подобных трекеров находили и секретные американские базы, и маршруты пробежек американских военных. Так что ничего нового.
Так что неаккуратное обращение с некоторыми приложениями может стоит жизни. Это касается военных, некоторых бизнесменов и других лиц, чьей безопасности что-то может угрожать. В ВС РФ стараются исключить использование Whatsapp, из-за расширенного потенциального доступа к нему спецслужб. Но тут и особого доступа не нужно, все данные человек отправил сам.
В общем, людям, опасающимся за свою безопасность, точно стоит относиться к подобным безобидным приложениям очень осторожно.
#3side_безполитики
🤯186👍79👨💻17🤬15🔥5❤3😁3
3side ищет менеджера по продажам.
Мы развиваемся, стартовый этап пройден успешно, шишки набиты, грабли найдены. И готовы делегировать продажи.
Кратко о вакансии: B2B, нужен IT/ИБ бэкграунд в продажах, готовность выстраивать холодные продажи. Удаленно, полностью белое трудоустройство.
В чем отличие: наше конкурентное преимущество - наша бизнес-модель. Она гибче, чем рынок, она прозрачнее, она справедливее. Ну и по опыту, она в 2-3 раза дешевле для заказчика.
Так что продавать будет что и будет кому.
Подробности на HH, откликаться можно там или пишите в @TG_3side!
Мы развиваемся, стартовый этап пройден успешно, шишки набиты, грабли найдены. И готовы делегировать продажи.
Кратко о вакансии: B2B, нужен IT/ИБ бэкграунд в продажах, готовность выстраивать холодные продажи. Удаленно, полностью белое трудоустройство.
В чем отличие: наше конкурентное преимущество - наша бизнес-модель. Она гибче, чем рынок, она прозрачнее, она справедливее. Ну и по опыту, она в 2-3 раза дешевле для заказчика.
Так что продавать будет что и будет кому.
Подробности на HH, откликаться можно там или пишите в @TG_3side!
👍17🔥5👎1
Раскрытие личных данных ChatGPT
Найден баг в ChatGPT раскрывающий данные, похожие на обучающую выборку.
Самое интересное в статье то, что ChatGPT при эксплуатации бага раскрывал не просто обучающие данные, а личные и конфиденциальные данные! Например, номера телефонов, адреса электронной почты и прочее.
И когда этот баг закроют, данные все равно останутся внутри, до следующего бага, проблема гораздо глобальнее.
Пример эксплуатации в следующем посте!
P.S. С Гигачатом повторить не удалось, привел скрины попыток в посте. Но если вдруг у кого получится, смело пишите нам в личку @TG_3side - опубликуем!
Найден баг в ChatGPT раскрывающий данные, похожие на обучающую выборку.
Самое интересное в статье то, что ChatGPT при эксплуатации бага раскрывал не просто обучающие данные, а личные и конфиденциальные данные! Например, номера телефонов, адреса электронной почты и прочее.
И когда этот баг закроют, данные все равно останутся внутри, до следующего бага, проблема гораздо глобальнее.
Пример эксплуатации в следующем посте!
P.S. С Гигачатом повторить не удалось, привел скрины попыток в посте. Но если вдруг у кого получится, смело пишите нам в личку @TG_3side - опубликуем!
👍24😁7🤔7🗿2🔥1🤡1
This media is not supported in your browser
VIEW IN TELEGRAM
Пример эксплуатации бага в ChatGPT
🔥17🤡11👍9👎3
Intel, AMD и Arm поймали SLAM
Вот тут мы уже писали про спекулятивное выполнение и близкие к этому уязвимости в процессорах Intel. Но, случилась ситуация еще интереснее!
Каждый производитель старается внедрить в свои новинки новейшие средства защиты. И вот все внедрили схожие механизмы защиты адресов, которые получили названия:
- Linear Address Masking (LAM) у Intel
- Upper Address Ignore (UAI) у AMD
- Top Byte Ignore (TBI) у Arm
Но проблема в том, что все три механизма защиты оказались уязвимы к Spectre-подобным атакам!
Тот самый случай, когда поторопились с внедрением защиты и сделали еще хуже.
Атака, как и ее родственные аналоги, позволяет извлекать данные обрабатываемые на одном процессоре, что особенно опасно на хостингах. Новую атаку и назвали SLAM, ее подробное описание тут.
Для технарей видео с демонстрацией атаки тут.
Какие процессоры уязвимы? Если кратко, все будущие новинки.
Посмотрим, что с этим будут делать производители. Надеюсь, что иск к Intel их отрезвил, и глаза они не закроют.
Вот тут мы уже писали про спекулятивное выполнение и близкие к этому уязвимости в процессорах Intel. Но, случилась ситуация еще интереснее!
Каждый производитель старается внедрить в свои новинки новейшие средства защиты. И вот все внедрили схожие механизмы защиты адресов, которые получили названия:
- Linear Address Masking (LAM) у Intel
- Upper Address Ignore (UAI) у AMD
- Top Byte Ignore (TBI) у Arm
Но проблема в том, что все три механизма защиты оказались уязвимы к Spectre-подобным атакам!
Тот самый случай, когда поторопились с внедрением защиты и сделали еще хуже.
Атака, как и ее родственные аналоги, позволяет извлекать данные обрабатываемые на одном процессоре, что особенно опасно на хостингах. Новую атаку и назвали SLAM, ее подробное описание тут.
Для технарей видео с демонстрацией атаки тут.
Какие процессоры уязвимы? Если кратко, все будущие новинки.
Посмотрим, что с этим будут делать производители. Надеюсь, что иск к Intel их отрезвил, и глаза они не закроют.
Telegram
3side кибербезопасности
Любое решение - провал для Intel
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости…
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости…
👍14🔥1🤡1
Уязвимый CS2: Counter-Terrorists Alert('XSS')
Игроки обнаружили, что если поставить себе ник в виде HTML-кода с медиафайлом, то при попытке голосования на кик игрока файл будет воспроизведен!
Используют это в основном как шутку, проигрывая всякий запрещенный и шок-контент.
Но что потенциально еще можно сделать?
Эта уязвимость выглядит как Хранимая XSS (Cross-site Scripting), и какой-никакой код выполнить можно.
Например, с помощью нее уже продемонстрировали разглашение IP-адреса жертвы, которая подгрузила этот медиа-файл (видео 2).
А что еще? Для заражения системы игрока этого явно будет мало. Для этого нужна связка из подобной уязвимости и уязвимости на выполнение кода в самом движке игры. И такая уже была! Но в прошлой версии CS.
Чтож даже гигантам геймдев индустрии явно не хватает компетенций по информационной безопасности.
P.S. За видео спасибо каналу Good Game.
Игроки обнаружили, что если поставить себе ник в виде HTML-кода с медиафайлом, то при попытке голосования на кик игрока файл будет воспроизведен!
Используют это в основном как шутку, проигрывая всякий запрещенный и шок-контент.
Но что потенциально еще можно сделать?
Эта уязвимость выглядит как Хранимая XSS (Cross-site Scripting), и какой-никакой код выполнить можно.
Например, с помощью нее уже продемонстрировали разглашение IP-адреса жертвы, которая подгрузила этот медиа-файл (видео 2).
А что еще? Для заражения системы игрока этого явно будет мало. Для этого нужна связка из подобной уязвимости и уязвимости на выполнение кода в самом движке игры. И такая уже была! Но в прошлой версии CS.
Чтож даже гигантам геймдев индустрии явно не хватает компетенций по информационной безопасности.
P.S. За видео спасибо каналу Good Game.
👍29🔥8
3side кибербезопасности
BrainSploit. Эксплойты социальной инженерии. Конференции по информационной безопасности не очень любят доклады по социальной инженерии. Особенно если доклад про социальную составляющую, а не про новый вид вредоносной нагрузки. А вот крупнейшая IT конференция…
BrainSploit. Эксплойты социальной инженерии.
Теперь уже можно говорить, что выступление на Highload++ 2023 удалось!
По оценкам организаторов доклад попал в топ лучших конференции. Я же был приятно удивлён такому количеству вопросов из зала, а после доклада в кулуарах мы обсуждали смежные темы еще 40(!) минут с кружком из десятка особо заинтересовавшихся.
Что дальше? Планирую сделать из него что-то более практическое, мастер класс по атакующим манипуляциям, по разбору и составлению сценариев/скриптов, пока планы такие.
Ну а запись выступления можно посмотреть тут!
Теперь уже можно говорить, что выступление на Highload++ 2023 удалось!
По оценкам организаторов доклад попал в топ лучших конференции. Я же был приятно удивлён такому количеству вопросов из зала, а после доклада в кулуарах мы обсуждали смежные темы еще 40(!) минут с кружком из десятка особо заинтересовавшихся.
Что дальше? Планирую сделать из него что-то более практическое, мастер класс по атакующим манипуляциям, по разбору и составлению сценариев/скриптов, пока планы такие.
Ну а запись выступления можно посмотреть тут!
YouTube
BrainSploit. Эксплойты социальной инженерии / Антон Бочкарев (Третья сторона)
Крупнейшая профессиональная конференция для разработчиков высоконагруженных систем Highload++ 2023
Презентация и тезисы:
https://highload.ru/moscow/2023/abstracts/11139
Легендарный Кевин Митник рассказывал о своем практическом опыте социальной инженерии.…
Презентация и тезисы:
https://highload.ru/moscow/2023/abstracts/11139
Легендарный Кевин Митник рассказывал о своем практическом опыте социальной инженерии.…
🔥18👍3👨💻3👏1
Угнали Телеграм, что делать?
Обычно если к нам приходят с таким запросом, то приходится долго и подробно расспрашивать об обстоятельствах.
Куда и что ввели? Была ли двухфакторка? Могут ли сейчас сами зайти в аккаунт? И прочее прочее.
Но наконец в одном из чатов увидели отличную подробную инструкцию!
Там написаны ответы на все типовые вопросы, от восстановления, до типичных способов взлома и даны исчерпывающие рекомендации.
Спасибо авторам, теперь зачастую достаточно отправить ее.
Обычно если к нам приходят с таким запросом, то приходится долго и подробно расспрашивать об обстоятельствах.
Куда и что ввели? Была ли двухфакторка? Могут ли сейчас сами зайти в аккаунт? И прочее прочее.
Но наконец в одном из чатов увидели отличную подробную инструкцию!
Там написаны ответы на все типовые вопросы, от восстановления, до типичных способов взлома и даны исчерпывающие рекомендации.
Спасибо авторам, теперь зачастую достаточно отправить ее.
Telegram Info
Что делать, если украли аккаунт Telegram?
Некоторые пользователи Telegram сталкиваются с тем, что к их аккаунтам получают доступ злоумышленники. Объясняем почему это происходит, как вернуть доступ к украденному аккаунту и как защитить его от будущих взломов,
🔥16👍9👨💻2
Российские мошеннические колл-центры
Помните, как в начале 2010ых активно работали колл-центры из мест заключения? Ходили еще шутки в стиле "Вам ответит первый не освободившийся оператор". Проблему решили, колл-центры прекратили свое существование.
А что сейчас? Колл-центры на территории России есть? Да, такие бывают, но они очень редки.
Ведь если до зарубежных наше правосудие дотянуться не может, то до этих дотягивается, и еще как. Например, в декабре начался процесс сразу по двум мошенническим колл-центрам. Один процесс в Москве, второй в Петербурге. Суммарно 16 фигурантов.
Какие схемы? Стандартные "зарубежные" схемы. Звонки от имени Центробанка или службы безопасности какого-либо банка, просьба или скачать вредонос для удаленного управления телефоном, или сразу перевести деньги на "безопасный" (мошеннический) счет, или хотя бы сообщить все реквизиты карт. В последнем случае оформляли заказы сразу, просили сообщить смс-код от 3ds.
Как выводили деньги? Одни конвертировали в криптовалюту и выводили зарубеж. Вторые по "вещевой" схеме, покупали дорогие товары, чаще всего технику и сбывали их через свои торговые точки. У одной из групп была даже своя точка в Москве на известной "горбушке".
Большие будут сроки? Да, мошенников объединили в преступное сообщество, потерпевших более 240, ущерб почти 85 миллионов.
Про самую большую группу писал Коммерсант.
Помните, как в начале 2010ых активно работали колл-центры из мест заключения? Ходили еще шутки в стиле "Вам ответит первый не освободившийся оператор". Проблему решили, колл-центры прекратили свое существование.
А что сейчас? Колл-центры на территории России есть? Да, такие бывают, но они очень редки.
Ведь если до зарубежных наше правосудие дотянуться не может, то до этих дотягивается, и еще как. Например, в декабре начался процесс сразу по двум мошенническим колл-центрам. Один процесс в Москве, второй в Петербурге. Суммарно 16 фигурантов.
Какие схемы? Стандартные "зарубежные" схемы. Звонки от имени Центробанка или службы безопасности какого-либо банка, просьба или скачать вредонос для удаленного управления телефоном, или сразу перевести деньги на "безопасный" (мошеннический) счет, или хотя бы сообщить все реквизиты карт. В последнем случае оформляли заказы сразу, просили сообщить смс-код от 3ds.
Как выводили деньги? Одни конвертировали в криптовалюту и выводили зарубеж. Вторые по "вещевой" схеме, покупали дорогие товары, чаще всего технику и сбывали их через свои торговые точки. У одной из групп была даже своя точка в Москве на известной "горбушке".
Большие будут сроки? Да, мошенников объединили в преступное сообщество, потерпевших более 240, ущерб почти 85 миллионов.
Про самую большую группу писал Коммерсант.
Коммерсантъ
Телефонных мошенников объединили в сообщество
По делу ОПС проходит 14 обвиняемых и 240 потерпевших
🔥12👍9👨💻1
Всем привет и с наступающим!
Это был очень интересный год. По-сути, первый полноценный год работы 3side — в конце 2022 у нас появились первые серьезные заказы. Много ли было сделано? И да, и нет. С одной стороны, компания уже давно существует без сторонних инвестиций, мы развиваемся и ищем людей. С другой стороны — конечно, хочется всего, сразу и побольше.
Мы очень рады, что наши клиенты возвращаются к нам. Особенно рады мы были, когда к нам пришел один из первых заказчиков — практически через год! ИБ — очень консервативная сфера, мы прекрасно осознавали, что будет сложно, но пока полет вполне нормальный. Могло быть лучше, могло быть хуже, но проект чуть более чем жив.
Какие планы на новый год? Самое главное — систематизация продаж. Здесь и сторонняя лидогенерация, и партнерские программы, и прямые продажи, и некоторые другие вещи. За год у нас многое изменилось — от позиционирования продукта до понимания необходимости некоторой собственной разработки. А еще мы поняли, что мы — "внешний проектный офис" и хорошо увидели наш бизнес глазами клиента. Был интересный опыт.
Познакомились с множеством отличных людей, которых мы очень надеемся увидеть снова и много раз. Вообще, именно люди — пожалуй, главное открытие этого года. Мы удивлены тому, какое количество совершенно разных людей нам помогало — и совершенно бескорыстно, и видя в нас возможных партнеров, и просто проникнувшись идеей. И это очень круто.
Мы рады, что у нас появляются новые стратегические партнеры и возможности. Надеемся, что в новом году вместе с ними мы построим что то большее.
Верим, что новый год будет лучше предыдущего — для всех нас. С наступающим!
Это был очень интересный год. По-сути, первый полноценный год работы 3side — в конце 2022 у нас появились первые серьезные заказы. Много ли было сделано? И да, и нет. С одной стороны, компания уже давно существует без сторонних инвестиций, мы развиваемся и ищем людей. С другой стороны — конечно, хочется всего, сразу и побольше.
Мы очень рады, что наши клиенты возвращаются к нам. Особенно рады мы были, когда к нам пришел один из первых заказчиков — практически через год! ИБ — очень консервативная сфера, мы прекрасно осознавали, что будет сложно, но пока полет вполне нормальный. Могло быть лучше, могло быть хуже, но проект чуть более чем жив.
Какие планы на новый год? Самое главное — систематизация продаж. Здесь и сторонняя лидогенерация, и партнерские программы, и прямые продажи, и некоторые другие вещи. За год у нас многое изменилось — от позиционирования продукта до понимания необходимости некоторой собственной разработки. А еще мы поняли, что мы — "внешний проектный офис" и хорошо увидели наш бизнес глазами клиента. Был интересный опыт.
Познакомились с множеством отличных людей, которых мы очень надеемся увидеть снова и много раз. Вообще, именно люди — пожалуй, главное открытие этого года. Мы удивлены тому, какое количество совершенно разных людей нам помогало — и совершенно бескорыстно, и видя в нас возможных партнеров, и просто проникнувшись идеей. И это очень круто.
Мы рады, что у нас появляются новые стратегические партнеры и возможности. Надеемся, что в новом году вместе с ними мы построим что то большее.
Верим, что новый год будет лучше предыдущего — для всех нас. С наступающим!
👍27🔥7❤2👨💻1
Экстремистская гирлянда
Тут на днях случилось следующее — несколько человек по инструкции в интернете собрали себе Wi-fi гирлянды и установили на них некую прошивку, которая 1 января начала демонстрировать вместо поздравлений политические лозунги. Как минимум один владелец гирлянды получил административку за дискредитацию ВС РФ! Хотя так такового умысла с его стороны не было.
Мы это к чему. Любые прошивки, находящиеся в открытом доступе, по умолчанию считаются скомпрометированными — если мы не говорим о чем-то, достаточно подробно исследованном и проверенном. Если кодом не пользуются на постоянной основе тысячи человек, если его не используют крупные компании, если он не разобран специалистами по ИБ, есть как минимум ненулевой шанс столкнуться с закладкой.
И вот тут мы приходим к понятию "бытовой безопасности". Использовать непроверенные приложения — это примерно как покупать молоко у непонятного продавца на рынке. Скорее всего, все будет хорошо — но риски есть, и гарантий качества вам никто не даст, если вы сами не знаете этого человека. С софтом похожая история. Крупные сетевые магазины тоже не всегда проверяют качество, но у них обычно столько клиентов, что о проблемах вы узнаете сразу. Так что будьте осторожны.
Тут на днях случилось следующее — несколько человек по инструкции в интернете собрали себе Wi-fi гирлянды и установили на них некую прошивку, которая 1 января начала демонстрировать вместо поздравлений политические лозунги. Как минимум один владелец гирлянды получил административку за дискредитацию ВС РФ! Хотя так такового умысла с его стороны не было.
Мы это к чему. Любые прошивки, находящиеся в открытом доступе, по умолчанию считаются скомпрометированными — если мы не говорим о чем-то, достаточно подробно исследованном и проверенном. Если кодом не пользуются на постоянной основе тысячи человек, если его не используют крупные компании, если он не разобран специалистами по ИБ, есть как минимум ненулевой шанс столкнуться с закладкой.
И вот тут мы приходим к понятию "бытовой безопасности". Использовать непроверенные приложения — это примерно как покупать молоко у непонятного продавца на рынке. Скорее всего, все будет хорошо — но риски есть, и гарантий качества вам никто не даст, если вы сами не знаете этого человека. С софтом похожая история. Крупные сетевые магазины тоже не всегда проверяют качество, но у них обычно столько клиентов, что о проблемах вы узнаете сразу. Так что будьте осторожны.
TACC
В Великом Новгороде составили протокол о дискредитации ВС РФ за лозунг на балконе квартиры
Дело будут рассматривать в суде
👍27👨💻4😁3🤯3❤1🔥1