Новая ссылка на фреймворк - https://disk.yandex.ru/i/mkh0RaKDO2XQsw

Держим 6 место!

Итак, мы снова взяли 6 место в рейтинге корпоративных ТГ каналов по кибербезопасности!

В этот раз на этой строчке помимо нас Инфосистемы Джет, РТ-ИБ, Инфотекс и Echelon Eyes.
Мы очень рады такой оценке, хотя понимаем, что объективно уделяем каналу последнее время маловато внимания.

Но напоминаем, что у нас канал ведется на факультативной основе, ведь у нас нет:
- СММщика
- Бюджета на канал
- Платной рекламы на канале
- Открытых комментариев

Как только наша работа с каналом станет более системной, будем бороться за топ-3)

Остаемся с вам на связи, и если у вас есть предложения по темам которые стоит подсветить в канале, пишите в контакты!

CISO FORUM 2025: 3 причины, почему вам стоит присоединиться

CISO FORUM становится еще сильнее: присоединились топовые эксперты, новые партнеры и ведущие медиа-персоны. До встречи осталось чуть больше месяца, и мы хотим рассказать, как растет и развивается форум в этом году.
 
1. Лидеры мнений отрасли
Форум поддерживают ведущие инфлюенсеры! Не пропустите возможность встретиться лично на площадке с такими важными персонами ИБ-сообщества как Дмитрий Борощук, Денис Батранков, Лев Палей и Андрей Марсалович. CISO FORUM продолжает наращивать темп и готовим еще больше значимых анонсов.
 
2. Лучшая программа за все годы
Программа пополнилась новыми ведущими спикерами. На сцене конференции – лидеры отрасли, готовые делиться своим опытом и стратегиями защиты бизнеса в новой реальности. Вот только часть новых спикеров в программе:
• Всеслав Солейник – Директор по кибербезопасности, СберТех
• Татьяна Фомина – Директор по ИТ и кибербезопасности, HeadHunter
• Михаил Савельев – Директор департамента ИБ, Ростелеком
• Артем Избаенков – Член правления, АРСИБ
 
3. Партнеры, которые делают конференцию масштабнее
CISO FORUM поддерживают крупнейшие компании, лидеры в своей области, такие как Yandex Cloud, Газинформсервис, UserGate, Curator и Мегафон. Сотрудничество с ними делает форум уникальным и незаменимым событием, которое дает участникам доступ к передовым решениям и возможностям для развития бизнеса в области ИБ.
 
Встретимся 10 апреля в Loft Hall, Москва!
 
Участие для IT и ИБ руководителей — бесплатное! Подать заявку на участие можно на сайте.


P.S. Мы информационный партнер форума и сами будем на нем

MaxPatrol SIEM теперь бесплатен, но за обучение ИИ

Наконец один из ведущих SIEM продуктов России теперь можно использовать свободно. Достаточно его скачать с официального сайта и развернуть. Это ведь так просто?

Условия просты - все написанные вами правила и сработки по ним будут аккумулироваться в PT, на этих данных будет обучаться ИИ!

В целом это отличная возможность для многих компаний сэкономить несколько своих годовых бюджетов и начать заниматься кибербезом всерьез. Готовы ли вы делиться своими данными для повышения качества продукта и повышения защищенности страны? Либо предпочтете заплатить за приватную версию?

Именно сегодня 1 апреля в качестве шутки, у вас появился выбор!

Мессенджер или туннель?


Во многих компаниях все еще используют WhatsApp как корпоративный мессенджер по разным причинам: от привычки до необходимости общаться со своими клиентами, которые не воспринимают иные мессенджеры.

В таком случае в средствах защиты и фильтрации трафика WhatsApp трафик неизбежно попадает в белые списки, содержимое его все равно не посмотреть благодаря P2P-шифрованию, и в целом выглядит такое исключение безопасно. Или нет?

На просторах GitHub обнаружился репозиторий с ПО, позволяющим прокинуть TCP-туннель через WhatsApp! Фактически мессенджер используется как защищенный и не вызывающий подозрений с точки зрения средств защиты транспорт.

Как именно это происходит?
По умолчанию объем сообщений в мессенджере достаточно большой, до 20к символов. К тому же передача двоичных файлов происходит только с сжатием, что позволяет достаточно легко поднять туннель. Автор еще не экспериментировал со звонками и подозревает, что в таком случае скорость может быть еще выше.

Для чего это было сделано? Вовсе не для вредоносного ПО, а лишь для обхода тарификации операторов связи. Автор путешествовал по Южной Америке, где нет безлимитного интернета, но есть безлимитный трафик WhatsApp. Это распространенная практика у многих операторов мира, а подобные туннели позволяют завернуть в WhatsApp даже YouTube. Но могут ли это использовать и злоумышленники? Бесспорно.

А остальные мессенджеры? IP-туннель в Телеграмм уже тоже делали, но в рамках лишь эксперимента. C2 (Command & Controll) сервера вредоносного ПО с использование Телеграмм уже точно были. Поэтому в эпоху подобных приложений уповать только на сетевую защиту точно не стоит. Вы не можете быть уверены, что там внутри мессенджера.


Сам репозиторий тут.
https://github.com/aleixrodriala/wa-tunnel

Реверс — мошенничество без ваших СМС

Когда пишут СМИ о «новых схемах», зачастую в них нет ничего нового, лишь меняется предлог, под которым жертву мотивируют расстаться с деньгами/кодами смс, либо нюансы «маскировки» мошенников.

Но сейчас действительно сменили схему, а не скрипт. Мошенники ушли в реверс! В начале они всё также вам звонят из колл-центра, но при этом не просят никаких кодов от Госуслуг или банков. Напротив, они говорят, что сообщать им коды не нужно. Они действительно им не нужны.

А дальше включается театр, они просят жертву «повисеть на трубке» и разыгрывают сценку, где операторы говорят между собой о том, что дело серьезное и нужно подключать генерала СК/ФСБ/МВД. Дальше звонок просто сбрасывается!

А в этот момент уже испуганной жертве приходит поддельное СМС о входе в Госуслуги/Банк и номер «техподдержки». Вот и реверс, жертва сама звонит на поддельный номер, напрямую в колл-центр и никак не сомневается в том, что это не мошенники.

Ведь:
1. Все триггеры первого звонка не сработали. Жертву не убеждали что-то сделать, не просили коды и даже разговор о «серьёзности ситуации и подключении генерала» жертва как бы случайно подслушала.
2. Жертва сама общается на «горячую линию». Не ей позвонили, а она сама!

В результате всё тот же результат «перевод денег на безопасный счет». Тут схема неизменна.

Использовали ли это ранее? Да, похожее использовали (https://habr.com/ru/articles/774162/). Они первично заходили в аккаунт Госуслуг и использовали «контрольный вопрос» для размещения мошеннического номера.

Помните, что схемы бывают очень разные, и запоминать типичные последовательности их скриптов бесполезно. Развивайте критическое мышление.

Когда действительно надо привлекать аутсорс в ИБ (спойлер: почти всегда, если вы небольшая компания)

Тут РБК выкатили прикольную статью, где пишут (со ссылкой на консалтеров из бывших "Янгов") о том, что только каждая третья российская компания прибегает к аутсорсу. Понятно, что речь там идет в основном про сотрудников вокруг "основного вида деятельности" — для заводов это рабочие, для стройки это строители, и так далее.

Но мы поговорим про наше любимое ИБ. И вот в статье пишут, что главная причина, по которой бизнес в России не любит аутсорс — это как раз боязнь утечек. Правильно ли это? Да, но нет, и по нашему опыту бояться аутсорса это примерно как бояться летать. Условно, если вам и дома норм или вас зовут Ким Чен Ир, то проблемы (у вас) нет. Иначе эту собаку надо учиться готовить.

Первый и главный момент — выбор аутсорс vs найм вообще не зависит от критичности функции. То есть идея "на критичные должности только нанимаем" для больших компаний имеет смысл, но для МСП+ может быть глубоко порочной. Во-первых, нишевые аутсорсинговые компании обычно умеют митигировать такие риски. Во-вторых, если вы не Газпромбанк, то красть ваши данные аутсорсеру ... просто не выгодно.

Второй — для небольшой компании обычно разумнее дополнять IT-функцию, а не строить отдельную ИБ-вертикаль. Свое IT+vCISO+минимальный набор продуктов+разовые сторонние услуги это здоровая модель. Брать в штат условного пентестера — это не здоровая модель, они умирают от скуки даже в компаниях с выручкой в сотни миллиардов. Так что повторимся, если вы не Газпромбанк, то аутсорс ваш выбор.

И третье. Что действительно нужно и важно делать по нашему опыту — это растить в IT базовые ИБ-компетенции. Разработчик не заменит полноценного DevSecOps, но наличие у него базовых ИБ-навыков существенно упростит вам жизнь. С сисадмином, который отключит софт для удаленного подключения, сменит дефолтные пароли и настроит гостевой вайфай — похожая история.

В общем, аутсорс в ИБ — это вполне нормальный выбор. Просто его, как и любой другой инструмент, надо уметь готовить. Чем мы, собственно, и занимаемся.

2025 — год партнерств

Мы тут периодически пишем, как у нас идут дела с бизнесом. Так вот — с 3side все хорошо, выручка за первый квартал в разы больше прошлогодней (но там поток клиентов пошел в конце года, закрывали проекты уже в 2025 с постоплатой). 4security зарегистрирован, релиз вероятно в середине-конце мая, планово.

Вообще говоря, ИБ всегда продается "через людей" — подрядчика в интернете ищут обычно те, кому некому дать совет. Такие клиенты у нас тоже есть, но основной эффект дают рекомендации — или от действующих клиентов (т.е. виралка), или от наших друзей.

То, что значительный кусок наших будущих продаж — это бизнес-сообщества и региональные интеграторы, мы осознавали и раньше. Теперь мы наконец готовы нормально с ними работать, и 4sec будет изрядно этому способствовать. Как минимум, это возможность "завести" клиента в конкретный интерфейс и дальше взаимодействовать с ним там.

В общем. Если у вас есть пул клиентов/партнеров, если части из них нужно ИБ и у нас может возникнуть синергия — пишите. Мы понимаем, как это готовить.

Приходите на КодИБ СПБ

Мы там будем, Антон поучаствует в вводной дискуссии и выступит с докладом. Одно из лучших мест для нетворкинга, будем рады пообщаться!

Никогда не было и вот опять: китайцы работали на американские госконтракты. А вы точно знаете своих подрядчиков?

Тут пару дней произошла анекдотическая история. Некий гражданин США по имени Минь Фыонг Нгок Вонг (Minh Phuong Ngoc Vong, т.е. явно вьетнамские корни) была нанят на работу IT-специалистом на работу по контракту с FAA (агентство по гражданской авиации). Гражданин имел к IT весьма опосредованное отношение, но все собеседования прошел и работу получил (!).

Рабочие задачи он "перенаправлял" своему партнеру по онлайн-игре, проживающему в Китае. Более того, китаец даже участвовал в встречах с заказчиком — обойдемся без расистских шуток, но тот не заметил разницы. Понятно, что FAA это не Локхид-Мартин, но сам факт фрода совершенно вопиющий.

Позже уже на этапе расследования выяснилось, что по подобной схеме мистер Вонг с 2021 по 2024 год проработал руками китайцев в 13 компаниях! Суммарно получив около 1 миллиона долларов зарплаты, но главное передал доступы к конфиденциальным данным всех 13 компаний подрядчикам из Китая.

Впрочем, было и круче — пол-года назад в США взяли парней, которые по похожей схеме предоставляли работу ... северным корейцам! Правда, там речь шла в первую очередь о нарушении санкционного режима против Пхеньяна.

А мораль здесь простая. Во-первых, описанная схема вполне типична для российского рынка ИБ. Ну, то есть монгола или киргиза вам вряд-ли подсунут, а вот студента с nmap вместо специалиста по пентесту — легко. По этой причине мы всегда даем прямую связь с заказчиком для конечного исполнителя. А во-вторых, капитализм и желание заработать побеждает все границы, режимы и политические ограничения.

🔐 Как защитить базу данных, если хакеры уже внутри?

И можно ли избежать расхождений между фактическими и заявленными конфигурациями? Ответы – на вебинаре «Защита баз данных» от Softline и «ЭВРИТЕГ».

📅 29 апреля
🕚 11:00–12:30 (МСК)
📍 Онлайн

Владелец продукта Артем Гарусев расскажет о «Платформе безопасности данных» – инновационном решении «ЭВРИТЕГ», которое позволяет эффективно защищать чувствительную информацию от внешних атак и внутренних угроз. А также объяснит, что представляет собой комплексный подход к безопасности и как реализовать концепцию Zero Trust на практике.

📎 Зарегистрироваться можно по ссылке

Конспирология кибербезопасности

Если вам кажется, что в кибербезопасности все профессионалы сплошь и рядом дружат с критическим мышлением — вам действительно кажется. Как и в остальных сферах, таких людей вряд ли большинство.

Наша сфера в целом толкает человека следовать критическому мышлению с одной стороны, но постоянные развития технологий и сильное пересечение со сферой работ спецслужб всех стран мира наоборот толкают к тому, чтобы скатиться в какую-нибудь конспирологию.

Вот примеры подобных заявлений, которые я слышал неоднократно:
- Об универсальных закладках во всё популярное ПО.
- Манипуляции Центрами сертификации и массовых подменах сертификатах.
- Давно взломанных современных стандартов шифрования.
- Распространении вирусов силами антивирусных компаний.

И знаете, распространение многих мифов очень на руку спецслужбам! Это напускает страху на их противников, заставляет отходить от действительно стойких методов безопасного общения в сторону «кастомщины», то есть чего-то самопального и, как правило, в разы менее защищенного. «Мы видим всё, следим за всеми вами».

И вот недавно популярный ТГ-блоггер Александр Картавых видимо оказался под влиянием такого акта «устрашения».

Скептики же в таких случаях цитируют одну из вариаций стандарта Сагала — «Экстраординарные утверждения требуют экстраординарных доказательств».

Давайте обсудим как раз чтение переписок в Телеграм. Это возможно?

- При доступе к устройству? Без сомнения, да. Тут достаточно скопировать папку tdata, все ваши переписки, скачанные на устройство, именно там.

- Доступе к аккаунту? Конечно, достаточно сделать экспорт нужных чатов. Что не касается секретных чатов, само собой.

- Через запрос силовых структур по официальным каналам? Нет, даже если запрос будет удовлетворен, будут разглашены только ваши метаданные. А именно:
- Телефон
- IP-адреса вашего входа
- Устройства, которыми вы пользовались для входа
И иные метаданные.
Откуда это известно? И по заявлениям самого мессенджера, и от моих коллег, которые активно участвуют в расследованиях вместе с силовыми структурами и по расследованиям журналистов.

- Через взлом MTProto-шифрования Телеграма? Нет.
Вот это уже чистая конспирология, и никаких даже минимальных доказательств этому нет. А нужны под это заявления уже совсем экстраординарные доказательства. Протокол мессенджера проектировался на стандартах современного шифрования, вобрав в себя все лучшие современные разработки криптографии, и избежал излишней «кастомщины». Его неоднократно проверяли, ведь логика его работы опубликована и открыта, как и исходный код клиентов мессенджера.

На данный момент протокол MTProto 2.0 не взломан. С современным шифрованием универсального взлома добиться крайне сложно. Даже официально не стойкие протоколы SSLv3, TLSv1.0, TLSv1.1 крайне сложно взломать на практике. Но припугнуть и разрушить их веру в ТГ гораздо проще с помощью дезинформации) Например, продемонстрировав полученные иным способом данные как «перехват Телеграма».

Скептицизм - полезная штука в кибербезе, помните про доказательства.

«Опасная» уязвимость Telegram Widget

Из-за массового репоста хайповых заголовков у многих сложилось впечатление, что нашли опасный баг, позволяющий угнать любой аккаунт ТГ через открытие какой-то ссылки.

Кратко: это не так, переживать не стоит.

Более подробно: этот баг может дать преимущества атакующему только в случае, если устройство находится у него (атакующего) в руках и разблокировано. Но, кажется, это уже и так само по себе дает такой набор возможностей атакующему, что и говорить нечего.

Для технарей: этот баг не увеличивает поверхность атаки без наличия каких-либо уязвимостей на ресурсе веб-версии «Телеграма».

Коллегам по каналам про кибербез рекомендую читать дальше первого абзаца после заголовка, писать в рамках своих компетенций и не рерайтить то, в чем не разобрались. Пугаете не технарей на пустом месте!

SEQuest — и снова социальный redteam фестиваля PHDays!

В этом году мы снова проведем наш конкурс по социальной инженерии на PHDays. Как и в прошлом году, участникам конкурса нужно будет примерить на себя роль Кевина Митника и проверить защиту фестиваля на прочность без использования каких-либо технических средств. Но в этом году SEQuest будет отличаться от предыдущего, ведь мы учли опыт прошлого года и постарались сделать конкурс еще более веселым, масштабным и более управляемым)

В чем же отличия?
- Заданий гораздо больше — 12. Только несколько из них с прошлого года, основная масса — новые!
- Упор на скрытность, если в этом году вас заметит охрана и зарепортит нам, участие в конкурсе приостанавливается на этот игровой день.
- Конкурс 18+.
- Будет задание на телефонный фишинг.
- Будет карта «красных зон» фестиваля, заходить куда строжайше запрещено, ведь они и не нужны для выполнения заданий. Это упростит участникам поиск нужных мест.
- Будет босс-задание, поверьте, оно будет для настоящих профи)

Покупайте билет на фестиваль, приходите в зону конкурсов и принимайте участие в SEQuest!

Более подробную информацию о заданиях, правилах и наградах напишем в следующем анонсе нашего конкурса.

Без паролей безопаснее

Пароли — атавизм кибербеза, придуманные когда-то от необходимости хоть как-то аутентифицировать пользователя, они стали стандартом безопасности. О том, почему это проблема, мы подробно писали тут.

И вот Microsoft сделали вход без пароля стандартом для новых учётных записей! Они предлагают только альтернативные методы аутентификации, более устойчивые к фишингу.

Пользователи могут войти с помощью одноразовых кодов, биометрии или ключей доступа (FIDO-ключей), а существующие пользователи могут и вовсе удалить пароль в настройках. Теперь это необязательный способ аутентификации.

А какие методы аутентификации предлагаются?
- Одноразовые коды – при входе система автоматически предлагает код вместо пароля. Коды, генерируемые специальными генераторами, наиболее устойчивы.

- Биометрия – распознавание лица или отпечаток пальца.

- FIDO-ключи – криптографическая аутентификация с открытым/закрытым ключом. Про них расскажем чуть подробнее:

— При регистрации устройство генерирует пару ключей.
— Закрытый ключ хранится локально, открытый – у сервиса.
— Вход подтверждается биометрией или PIN-кодом, без передачи чувствительных данных.

Все крупные IT-компании (Google, Apple, Amazon и пр.) также переходят на беспарольные методы. FIDO Alliance работает над улучшением совместимости ключей между платформами. Уже более 15 млрд аккаунтов поддерживают вход через FIDO.

Будущее приближается. Умрет ли фишинг? Классический — да, но он трансформируется в иные атаки на человека.

Научпоп про криптографию Второй Мировой Войны

5 лет назад я написал две статьи, где попытался максимально просто разобрать не самые известные моменты криптофронта Второй Мировой.

Получилось найти уникальные материалы на немецком языке, которые пару лет назад удивили даже специалиста музея Криптографии в Москве. Публикую их тут в неизменном виде по ссылкам в ВК.

P.S. Это максимально популярные статьи, для специалистов они могут показаться крайне упрощены, но как еще популяризовать такую тему?

Статья 1.

Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Войне, и, конечно же, поговорим о том, как их пытались взломать.

Радиоперехват стал известен с Первой мировой войны, поэтому ко второй мировой все страны-участники подготовились основательно, поэтому и бои на криптофронте были не менее ожесточенными.

Япония, СССР, Великобритания, США и Германия, в этой статье рассмотрим атаку и защиту каждой страны, ответим и на нестандартные вопросы:
- Почему шифровальщики носили с собой взрывчатку?
- Почему в армии США ценили коренных американцев?
- Как сводки погоды, минные поля и нацистские приветствия помогали союзникам?
- Почему СССР даже не пытался взломать шифровальные машины Германии?
- И почему математически идеальный шифр все равно расшифровывали?

Статья 2.

Думаете, что и так знаете про успехи США, Германии и особенно Великобритании в области криптографии?

“Я же смотрел “Игру в имитацию”!” - распространенный комментарий, распространенное заблуждение. Все было не так, как показали в кино. Британцы были не самые умные, Алан Тьюринг не был самым успешным в дешифровальной службе, а США не полагались только на своих союзников. Ну и британский компьютер, который вы видите ниже на картинке, НИКАК не связан с Тьюрингом.

А материал об успехе дешифровальной службы Германии впервые переведен на русский язык для этой статьи. Пришло время срывать покровы, интересно узнать как оно было на самом деле?