Отличный разбор решения заданий SEQuest от нашего финалиста!

Он сделал упор на осторожную и скрытную тактику, за что ему большое уважение от организаторов)

#PHDays Fest 2 По многочисленным просьбам (не шутка) выкладываю writeup, райтап, он же описание прохождение квеста SEQuest.

Спасибо парням из @By3side за организацию (и лично @Bam_hack). Будет круто, если #СИ станет постоянной дисциплиной на PHD.

https://telegra.ph/PHDays-Fest-2-Prohozhdenie-SEQuest-06-23

Любой человек уязвим

Этот тезис не преувеличение, и вот еще одно ему доказательство. Сотрудник прокуратуры, который в 2015 году рассказывал про то, как избежать мошенничества, продал свою Audi Q7 и перевел все свои накопления мошенникам. Они просто ему звонили от имени разных служб, перебирая таким образом сценарии. Самым успешным оказался звонок от "РосФинМониторинга".

Мы все ждем когда какого-либо известного коллегу из кибербезопасности разведут, чтоб закрепить мой тезис. Надеюсь журналисты и это не упустят и подсветят!

И любая система уязвима

Ransomware-группировка Lockbit, разгром инфраструктуры которой недавно устроило ФБР, не планирует распадаться.

Чуть более чем через 2 часа они опубликуют первую порцию из 33 терабайт данных, украденных из Федеральной резервной системы США (ФРС США). Это важнейшая банковская структура страны.

Если данные не окажутся фейком, то после такой «ответки» от киберкриминала ФБР явно не будет выглядеть победителями. Ждем начало следующего раунда противостояния!


UPD. Таймер достиг нуля, данные оказались не ФРС, а BaaS провайдера Evolve Bank & Trust. «Ответка» не удалась.

RegreSSHion - новая/старая уязвимость OpenSSH

Иногда уязвимости возвращаются, и это происходит не из-за ошибок в исправлении, а потому что программное обеспечение меняется. Из-за обновлений уязвимость может снова стать актуальной.

Эта уязвимость «спала» с 2006 года, когда ей присвоили идентификатор CVE-2006-5051. В октябре 2020 года она «проснулась» в версии OpenSSH 8.5p1 и получила новый идентификатор CVE-2024-6387 с той же оценкой «Критическая». Она позволяет удаленно выполнять код с правами root на любой Linux-системе, основанной на glibc, без необходимости использовать OpenBSD.

Использовать эту уязвимость будут очень скоро, так как её подробный анализ уже выложил Qualys, а число потенциально уязвимых серверов исчисляется десятками миллионов.

В интернете пишут, что уязвимы версии от 8.5p1 до 9.8p1, но ЭТО НЕ ТАК!

Были выпущены промежуточные обновления для старых, но всё ещё поддерживаемых версий Linux. Например, для Launchpad/Debian/Ubuntu это можно увидеть на скриншоте в новости или по ссылке. Версия 8.9p1 - безопасна.

Поэтому, обновляйтесь до безопасных версий!
Если это невозможно, закрывайте порт с помощью белого списка IP-адресов.

Но сделайте это как можно быстрее, потому что атаки могут начаться в любой момент.

Еще одна статья о противодействии мошенничеству

В этот раз давали комментарии профильному изданию по кибербезопасности SecurityMedia!

https://securitymedia.org/info/otvetit-nelzya-ignorirovat-opasnosti-telefonnogo-moshennichestva-i-kak-im-protivostoyat.html

Якобы взлом Андроид через Telegram

Заявляется во многих каналах именно так, но давайте разберемся, а что мы видим?

1. Получено сообщение с картинкой превью, но не от пользователя, а от бота! Видимо через ответ бота, можно поставить картинку на любой файл. Ок.

2. При попытке файл открыть, ТГ предлагает открыть в другом приложении. Штатное поведение.

3. Файл оказывается исполняемым APK файлом, и если у вас разрешено устанавливать APK-файлы написанные непонятно кем и из непонятно откуда, то мы можете выбрать менеджер пакетов и установить это приложение. Тоже штатное поведение.

4. Нужно прожать еще несколько кнопок и галочек в настройках, чтоб дать доступы нужному приложению.

Итого, вы скачали через Телеграм шпионскую программу, сами указали что ее нужно установить, проставили все разрешения, и она заработала!

Что тут необычного и проблемного? Только картинка на превью. Все остальное на видео сделал сам пользователь.

О безопасности на конференциях

Об этом поговорили с Security Media, рассказал об интересных случаях и даже упомянул товарища, который целенаправленно ходит на ИБ конференции без билетов)

https://securitymedia.org/articles/interview/anton-bochkarev-tretya-storona-lyubaya-konferentsiya-uyazvima-poetomu-vsegda-nuzhno-byt-nacheku.html

Обновления, которые вызывают DOS

Ситуация - вы обновляете ПО, и ваш сервер/ПК перестает работать. Сейчас подобное случается не часто, ведь производители гораздо тщательнее тестируют свои продукты, чем раньше. Но иногда подобное случается в катастрофических масштабах! И особенно иронично, что виной текущего массового сбоя стала ИБ-компания CrowdStrike!

После обновления их продукта, любой сервер или рабочая станция под ОС Windows уходит в циклическую перезагрузку!

Что же в итоге встало?
- It-инфраструктура Австралии, там это ПО было очень широко распространено. Включая тюрьмы, полицию, администрацию. Ждем новостей о побеге из-за сбоя)

- Остановили полеты крупные авиакомпании США American Airlines, United Airlines и Delta Airlines.

- Задержки рейсов в аэропорте Испании.

- Проблемы с регистрацией и бронирование в Turkish Airlines.

- Аэропорт Берлин-Бранденбург приостановил работу целиком.

И многие другие компании и организации, гораздо менее заметные на фоне.

Что же делать?
Пока есть 2 решения:

1. Отключить локальные сервера с ПО CrowdStrike.

2. Переименовать путь \windows\system32\drivers\crowstrike на любой другой!

Вендор скорбно обещает вскоре выпустить новое обновление и все исправить.

Доверие к вендору серьезно подорвано. Но такие сбои имеют влияние и на всю индустрию безопасности, ведь именно под такими постами появляются люди, которые начинают утверждать что "обновления не нужны", "давно не обновляюсь, и все хорошо". На фоне подобных сбоев к их словам начинаю прислушиваться, значительно облегчая работу злоумышленникам.

Да, обновления иногда приносят проблемы, поэтому необходимо их тестировать перед массовой установкой!

Актуальные обновления жизненно необходимы для безопасности. Иначе никак!

P.S. На картинке автор комментария учит плохому под новостью о сбое.

А что у нас с безопасностью?

Фундаментальный вопрос, который задается в разных формулировках и может значит очень разное.
Но иногда, лучшим на него ответом будет не уровень защищенности компании, а оценка способности защищаться.

В докладе "Психологический возраст кибербезопасности" на SPB Highload 2024, я рассказал наш подход к этому вопросу.

- Мы рассмотрели плюсы и минусы классических подходов к аудиту.
- Подсветили наше виденье того, когда и какие аудиты нужны.
- Предложили иной путь, путь оценки через "Киберзрелость" - оценку того, насколько ваш подход к информационной безопасности серьезен и насколько вы способны защищаться.

Также в докладе была указана ссылка на анкету базовой самооценки, они всем доступна для скачивания!

Смотреть доклад тут.

100 000 за удачное письмо — первая выплата по кибериспытаниям!

Тут случилось уникальное по меркам российского ИБ событие — один из исследователей смог провести успешную фишинговую атаку на инфраструктуру Innostage, которая находится на кибериспытаниях, и теперь получит выплату в 100 000 рублей. Это много — особенно по меркам bug bounty. А главный "приз" — 5 млн рублей — будет выплачен тому, кто сможет реализовать недопустимое событие — вывести деньги со счетов компании.

И мы очень рады, что процесс кибериспытаний, к организации которого мы приложили руку, не просто стартовал, а дошел до первой выплаты. Причем выплаты именно за фишинг — потому что изначальная философия кибериспытания звучала так: "white как black", то есть исследователям должны быть доступны все инструменты настоящих черных хакеров.

Мы активно участвовали в разработке самой методики кибериспытаний, привлекали экспертов из комьюнити для максимально объективного взгляда, и сейчас активно поддерживаем, участвуем в экспертном совете!

Мы очень надеемся, что кибериспытания не только изменят российский ИБ-рынок, но станут массовым и эффективным способом построения защиты и демонстрации защищенности инфраструктуры российских и не только компаний. А еще — существенно поднимут величину выплат за серьезные уязвимости.

Почему так плохо? "СЕКРЕТНО"

А причина очень простая — у нас даже на коммерческом рынке совершенно кошмарная нехватка людей. Это при том, что там и зарплаты хоть и ниже чем в IT, но вполне нормальные. И понятные условия работы, прозрачный карьерный трек и так далее по списку. А главное всегда есть варианты, не понравился работодатель или закусился с начальством — ушел из одной ИБ-компании, например, "Джет" в "Позитив", из "Позитива" в "Касперский" или "Бизон". Мы знаем людей, которые ухитрились пройти вообще все компании из топ-5 российского кибербеза. Плюс за последние года 2 в индустрии начали платить прям ощутимо больше. Плюс можно действительно учиться у лучших. Не зашло, или достиг потолка — ушел в другое место делать те же самые проекты.

А теперь смотрим на госуху, даже не околовоенку, а просто госуху. Вспоминаем, как год назад одно ведомство искало себе специалиста на оклад в 15 тысяч рублей? Интересно, нашли?)) В "аквариумах" (С) история не сильно лучше, там разрыв с коммерческим рынком в деньгах может быть в разы. Ну и условия работы, понятное дело, другие — отдыхайте на курортах Краснодарского края, как говорится. И нервяка больше в разы. В итоге, из госухи люди бегут даже при значительных достижениях, бегут в коммерцию, где им тяжело устроиться из-за специфического опыта и закрытости прошлого работодателя. Примеров перед глазами достаточно. Мы, кстати, знаем одного человека, который после научной роты ушел на службу — продержался там целых 5 лет!

В итоге мы получаем вполне конкретный отрицательный отбор и ситуацию, когда лучшие студенты военных ВУЗов ездят на хакерские соревнования (условные CTF) и доблестно занимают там первые места с конца, вызывая массу шуток. И это в то время, когда обычные пацаны из совершенно гражданских ВУЗов выигрывают российские и международные соревнования. А в госструктурах они моментально начинают чувствовать себя как в болоте или либо быстро уходят, либо долго деградируют.

Так что какие нафиг предприниматели и стартапы? Или кому-то охота пару лет просто бумажки собирать под обещание "денег когда-нибудь"? И в лучше случае получится третьесортный интегратор, который будет сидеть на контрактах с оборонкой с текучкой кадров как на Амазонке. Нет, мы все все знаем один ОЧЕНЬ успешный пример, но там человек вывез на связях с генералами и финтехом, и то компания годами сидела на контрактах одного конкретного заказчика.

Так что пока у нас тотальная "секретность", коммерческий ИБ-рынок будет на две головы выше, а люди из "госов" будут при первой возможности бежать на гражданку. Потому что очень хочется кушоц и по возможности интересных задач. Можно платить человеку 70% его зарплаты на гражданке, но платить 30-летнему эксперту зарплату младшего специалиста из условных "Джетов" — это, извините, днище. И все это говорит о том, что уважаемым ведомствам люди просто не нужны.