Побег из матрицы

На виртуальных машинах сейчас строится практически любая инфраструктура. Удобно засунуть кого-то приложение в виртуальную машину, чтобы в случае его взлома остальные приложения и сам сервер не были затронуты.

Но случаются и побеги из подобной «песочницы». Исследователь предоставил видео с запуском калькулятора ОСНОВНОЙ операционной системы прямо из виртуальной машины VMware! Нео очередной раз сбежал на уровень выше.

Это потенциально несет огромную угрозу безопасности, ведь, например, компьютерные вирусы изучаются изолированно с помощью виртуальных машин. И многие другие процессы опираются на то, что виртуальная машина никак не может повлиять на сам сервер. А без исправления это уже не так.

Всем пользователям ПО VMware приготовиться обновляться, ибо это очень критично. За подобные уязвимости платят сотни тысяч долларов, так что поздравим автора!

Подробности пока не опубликованы, идентификатор CVE тоже не присвоен, будем ждать их сразу после патча.

Джеймс Рейндж, президент White Rock Security Group

"Только в первом полугодии 2022 года число атак программ-вымогателей возросло на 288%."

Потрясающая статистика, конечно. И это только начало.

Всем привет!

Завтра Антон участвует в небольшом видео-интервью про OSINT, кто хочет — присоединяйтесь.

OSINT - поиск по открытым источникам, то есть с использованием привычной нам информации. Соцсетей, различных реестров, специальных сервисов и некоторых других утекших источников. При некотором умении и правильном подходе, при помощи OSINT можно получить ОЧЕНЬ много разной информации об интересующем объекте.

В общем, будем обсуждать, что именно изменилось в 2022 году в этой сфере, как искать и где искать даже без специальных навыков.

Услуга: базовый аудит информационной безопасности

В каком случае она имеет смысл: если вы раньше не занимались вопросами ИБ и не представляете, на сколько ваш бизнес уязвим.

Сколько это стоит: от 50 тысяч рублей, в зависимости от сложности структуры и глубины анализа

Что вы получаете: опытного аудитора, который внимательно оценит ситуацию с безопасностью в вашей компании и ваши риски, построит дорожную карту дальнейших работ и даст рекомендации, что можно улучшить.

Опираясь на отчет аудитора, вы сможете самостоятельно или при помощи сторонних специалистов выстроить дальнейшие планы.

#3side_услуги

Почему простые мошенничества тоже опасны

Один мой товарищ, мне рассказал о двух очень показательных историях с мошенничеством персонала. С подобным может столкнуться любой бизнес, совершенно в любой сфере.

Бензозаправка. Одинокая заправка на трассе с крайне ограниченным выходом в интернет. Бензин наливается, данные записываются в базу на сервер, который по совместительству - рабочее место оператора-кассира. Раз в несколько дней это уходит в головной офис по слабому интернету. Да база защищена паролем и работает под другим пользователем, да и знаете оператор-кассир, согласившийся работать в таком удаленном месте, живет тут в селе неподалеку. Он явно не хакер, что он может сделать?
А оказывается, может скрутить счетчик налитого бензина прямо в оперативной памяти, и этот бензин продать на сторону! Без знаний в IT? Чем и как? ArtMoney! Известная многим геймерам программа, которая позволяет накрутить себе денег в компьютерной игре. По факту она просто ищет нужные числа в памяти игры и меняет их. Так и делал оператор, просто менял количество налитого бензина, только не в игре, а в памяти базы данных. Сам он догадался или прочитал где-то, неизвестно. Поймали на сверке, но далеко не сразу, не могли понять, как он это делает.

Ресторан. У известной CRM для ресторанного бизнеса была проблема - возможность загрузившись с внешней флешки редактировать базу данных, она была не зашифрована. Ну и что? Официанты же и менеджеры не хакеры! А им и не надо ими быть, ведь на мошеннических форумах активно и недорого продавалась инструкция по обогащению с помощью этой уязвимости. Часть персонала ресторана, обладая минимальными техническими знаниями, в течение дня записывали солидную часть заказов на определённый стол. А вечером после ухода управляющей просто-напросто "обнуляли" этот стол в базе данных и перепечатывали чеки, забирая всю выручку с этого стола. Все по инструкции, работали так более полугода. Вскрылось это случайно, благодаря установке системы электронных чеков, о которой сотрудники не подумали. Подтвердили камерами. Прибыль ресторана, после увольнения участников, увеличилась вдвое, ведь эта схема в месяц приносила сотни тысяч рублей.

Противодействие мошенничеству со стороны клиентов/сотрудников/партнеров важная часть безопасности любого бизнеса. Важно анализировать бизнес-процессы, предотвращать появление подобных схем и выявлять уже действующие.

В целом, этим возможно заниматься и самостоятельно, но гораздо проще и эффективнее обратиться к профессионалам. Через нас это получится, скорее всего и дешевле.

Выложили запись нашего небольшого диалога про OSINT!

В прошлый четверг мы с Антоном Бочкаревым провели #ИБшныйДвиж на тему «OSINT: Насколько стало легче искать людей в 2022 году»

Поговорили о распространенных инструментах поиска, о том, какими из них может воспользоваться несвязанный с ИБ человек, а какими пользуются настоящие профессионалы.

Вот подборка инструментов от Антона, которые мы успели обсудить:
— Поиск по утечкам: СДЭК, Гемотест, Яндекс.Еда, базы ГИБДД.
— Система быстрых платежей: при вводе номера адресата можно и посмотреть имя, отчество и первую букву фамилии.
— Сервис Saverudata (работает с VPN).
— Боты в Телеграм: Universalsearchrobot (канал Howtofind).
— Maltego, Shodan.
— Поисковые системы.
— ТГ-канал Howtofind.
— ТГ-канал OSINT mindset.
— ТГ-канал osint_club_channel.

Посмотреть обсуждение полностью можно на нашем You-Tube канале «Полосатый ИНФОБЕЗ».

«10 миллионов рублей за багбаунти!» - громкое заявление ради пиара

Positive Technologies заявили, что готовы заплатить столько за кражу денег со счетов в рамках багбаунти.

Что тут не так? Это не уязвимость, это полноценный redteam-проект, использующий целую цепочку уязвимостей. Поэтому это не относится к багбаунти! Подобный проект требует бОльших ресурсов, наприме привлечения команды с разными специализациями:
- Специалист по web-уязвимостям.
- Специалист по инфраструктурным уязвимостям.
- Специалист по работе со счетами.

Это не работа для глубоких профессионалов одной области чаще всего зарабатывающих на платформах поиска уязвимостей.
И заплатят только по факту, то есть если противодействием вам нарушили работу в середине, или система противодействия мошенничеству не дала провести операцию в самом конце - вы провели бесплатный redteam, спасибо. Вы поработали бесплатно, денег заработать не удалось.

И для такой работы это совсем не те деньги, чтобы так рисковать. В классических redteam платят деньги за любой качественный проект, а не только «если получилось».

Багбаунти формат создает еще дополнительные ограничения в рамках платформы для исполнителей.
За "новый формат багбаунти" нам пытаются выдать redteam на максимально невыгодных исполнителю условиях.

Да и клиентов, которые согласятся на подобное, тоже думаю будет немного. Так что, я уверен, что это просто громкие слова, только хайп.

Все больше коллег пытаются донести, что это лишь кривое пояснение для СМИ, поэтому оно так звучит.
А по идее это командный багбаунти, с отдельными доплатами за риски, которые важны бизнесу.

Если это так, то круто и действительно новый подход от PT.
Надеюсь пояснения от PT будут и разрешат этот вопрос.

Минцифры провело исследование уровня грамотности россиян в сфере ИБ — результаты ... не обнадёживают

Собственно говоря, суть исследования — оценить знания жителей России в сфере возможных угроз и способов защиты от них. Причем судя по описанию, вопросы покрывали достаточно актуальные: от антивирусного ПО до социальной инженерии. Итоговый результат оценили в 48,2 пункта (наверное, это не очень хорошо), но нам интереснее другое. А именно — ответы на конкретные вопросы.

И вот тут картина не очень хорошая: 41% россиян вообще не смогли назвать ни одной возможной угрозы. То есть возможность отправить деньги мошенникам (социальная инженерия) либо не рассматривается ими именно как угроза в сфере ИБ, либо просто не рассматривается. При том, что 16% назвали как раз телефонное мошенничество. В общем, или всё очень плохо, или проблема в разной трактовке понятия ИБ.

Ожидаемо, лучше всех себя показала категория 25-34 года, для более возрастных респондентов картина хуже. Для возраста 13-17 лет угрозы ожидаемо другие (там в первую очередь история про соцсети). Причем слово "фишинг" знакомо только 14% респондентов — и вот это уже реальная проблема. Ну, или тоже явление понятное, а слова такого умного не знают. Всё может быть.

Что характерно, россияне прекрасно понимают свои проблемы: тот же 41% респондентов оценил себя на 1-3 балла. Правда, если вопрос задавали в конце, то множество ответов "не знаю" могли как-то повлиять на мнение респондентов.

Резюмируя: с ИБ картина примерно такая же, как с финансовой грамотностью, которую ЦБ долго пропагандировал а потом плавно решил дрейфовать в сторону застрахованных счетов. В любом случае, рассказывать про ИБ важно, даже если повышение этой самой грамотности происходит не самыми быстрыми темпами. Круто, что Минцифры это делает — реально важная работа.

Управление рисками и кибербезопасность

Риск-менеджмент — это такая довольно важная штука для практически любого бизнеса. Рисков бывает куча типов, у всех свои ключевые риски, и здесь главная идея — не уход от риска в целом, а разумное снижение вероятности его наступления. То есть мы не пытаемся любой ценой минимизировать вероятность наступления негативного события — мы определяем баланс между последствиями и стоимостью снижения вероятности их наступления.

Грубо говоря, существуют бизнес, для которого борьба с киберрисками бессмысленна. Самый простой пример — это палатка с шаурмой у вокзала. А бывает и совсем наоборот — вспоминаем историю про заправку. В общем, самое главное в этом вопросе — разумность и взвешенность.

По нашему опыту — к нам часто приходят уже после того, как проблемы в сфере безопасности реализовались. Не всегда катастрофическим образом, но "звонок" прозвенел и бизнес понял, что вот сейчас у него будет проблема. Можно считать, что это нормально ... но это нехорошо. В идеале, картина должна быть совсем другой.

Самый главный вопрос, который рано или поздно может (и должен?) задать себе любой CEO или CTO звучит так: "что я потеряю, если риск реализуется и сколько стоит защита". И управление рисками ИБ в любой компании начинается с ответа на этот вопрос. Ответ может быть "ничего не потеряю", или может быть "я потеряю бизнес". Самое главное — чтобы ситуация должна быть управляемой. А про методы количественной оценки риска мы ещё поговорим.

Тут вышло интервью с Антоном для казанского Enter

"Миссия компании — сделать услуги по кибербезопасности прозрачными, надежными и доступными малому бизнесу. Проблема современного информационного рынка в том, что из-за цепочки посредников клиент до конца не понимает, кто будет выполнять заказ. Мы решили эту проблему и создали первый в России агрегатор услуг по кибербезопасности."

И ещё пара слов о том, как мы дошли до жизни такой, какой продукт мы создаём и самое главное — для кого мы это делаем.

"Так безопасно?" №4: Как техдиру говорить про кибербезопасность и деньги?

По результатам вчерашнего поста про управление рисками, у нас возник один небольшой спор с коллегами о том, как техдир должен обосновывать свои расходы. Эта история не совсем про наш бизнес, но мы попробуем ответить (тем более, что бэкграунд у Артёма всё равно в финансах).

Самое главное — ваш CEO\CFO мыслит в других категориях. С CTO наверное проще, но если у вашей компании есть отдельный CTO и вертикаль под ним — то, наверное, какие-то понятия о безопасности у вас есть. А если есть CISO то вообще прекрасно и говорить придется уже ему.

Начать в любом случае надо с того, чтобы перевести возможную угрозу в разряд денег. Просто говорить "нас могут взломать" — недостаточно, потому что сразу возникнет здравый вопрос "и чем нам это грозит"? Хорошо бы сразу понимать, в какие конкретно потери эта история может вылиться. Потому что говорить "наша база клиентов утечет к конкурентам" — это одно, а "если наши продажи упадут на 10%, то нас зашифруют и будут потери от простоя на XXX рублей" — это другое. Никто не любит абстракции, все любят бабки.

Сделать такую "бизнесовую" оценку для человека из IT/ИБ может быть тяжело, но если вы доросли до Head of что-нибудь, то вам рано или поздно придётся вгружаться в бизнесовую составляющую. Это в любом случае полезно.

Второй момент — это правильно оценивать ваши возможности и реальность угроз. Потому что если вы понимаете, что проблема реальна, жопа (извините) полная, то лучше уже сейчас идти к тому, кто распоряжается деньгами и говорить "есть проблема". Нет, конечно, конкретная стратегия зависит от того места, где вы работаете — но общая идея именно такая. CTO, который "обо всём предупреждал" лучше CTO, который молчал. Кстати, именно таким CTO мы иногда продаём расследование инцидентов.

В общем, главное — это интерпретировать проблему в деньгах. Идея, вроде бы, совсем очевидная, но мы часто видим колоссальную пропасть в мышлении "чуваков из IT/ИБ" и "людей, которые распоряжаются деньгами".

Управление ИБ в компании — это не сложно и не дорого

Чем больше мы общаемся с совершенно разными людьми (из стартапов, традиционного бизнеса, из разных индустрий) тем чаще мы встречаемся с двумя очень популярными мифами.

1) Информационная безопасность — это дорого. На самом деле, правильный вариант этой фразы звучит как "ИБ может быть очень дорогим". А может быть и нет. А может быть вам не нужно ИБ за 20 миллионов рублей даже если у вас есть на него деньги. У нас был очень разный опыт общения с заказчиками (и потенциальными заказчиками), и мы можем точно сказать одно. Зачастую на рынке взаимосвязь между стоимостью услуги и её ценностью для бизнеса если и не отсутствует, то бывает достаточно неочевидной. Это не значит, что сделают плохо. Это значит, что даже дорогая и классно сделанная услуга зачастую этому конкретному заказчику просто не нужна.

2) ИБ — это сложно. В реальности нет, ИБ — это так же про бизнес, как программа управления логистикой или трекинг грузовиков. Здесь нет вообще ничего такого, что нельзя было бы понять. Всё интуитивно просто, а главное — ИБ всегда "закрывает" те или иные угрозы бизнесу.

В общем, ничего сложного или страшного здесь нет. Будут вопросы - пишите)
А завтра у нас выйдет большой лиебез про самый знаменитый в истории слив данных. Там тоже очень и очень поучительная история.

Утечки данных — одна из главных киберугроз современности

Конфиденциальные данные компаний утекают в сеть. Это может быть клиентская база (привет, доставка еды), технические материалы, да что угодно. Зачастую, сами пострадавшие компании позиционируют их как взлом со стороны — гораздо проще свалить вину на "анонимных хакеров" чем признать собственные глубокие проблемы в управлении информационной безопасностью.

Иногда от таких утечек страдают целые государства, или точнее — власти этих государств. Ниже — разбор самых популярных мифов об Эдварде Сноудене, идеалисте, патриоте своей страны и бывшем сотруднике АНБ — одной из самых влиятельных спецслужб в мире. Будучи сотрудником одного из её подрядчиков и разочаровавшись в её культуре, Сноуден опубликовал массу конфиденциальной информации, явив миру неприглядную картину того, чего боялись параноики всего мира — программы тотальной правительственной слежки за собственными (и не только) гражданами.

История Сноудена — пример не только того, как один человек может изменить мир. Это пример грандиозного провала в информационной безопасности огромного и влиятельнейшего правительственного агентства.

Эдвард Сноуден. Мифы

Прошло уже практически 10 лет, а мне до сих пор продолжают рассказывать удивительные истории об Эдварде Сноудене. А ведь вышло за это время несколько документальных фильмов и даже автобиографическая книга! Все привыкли делать выводы по кликбейтным заголовками и художественному кино, поэтому и родился этот небольшой ликбез с самыми распространенными в моем окружении заблуждениями.

О его работе. Сноуден был обычным сисадмином или кадровым сотрудником спецслужб?

Смотря когда. Сноуден работал в ЦРУ за несколько лет до событий с утечками. В Женеве он оказывал техническую поддержку настоящим агентам-нелегалам, по сути обеспечивал их связью на местах. Сисадмин-агент-нелегал для задач вроде “перезагрузите пожалуйста ваш шпионский компьютер”, но быстро оттуда уволился. По его словам - после того как увидел, какими методами агенты добывают информацию (шантаж, провокации, подставы).
Во время событий 2013 года он был системным архитектором в подрядчике Агентства Национальной Безопасности (АНБ). То есть сотрудником самой службы он не был, но был проверен и аккредитован для доступа к секретным сведениям. И вот уже тогда она занимался гораздо более сложными задачами – например, проектировал систему обмена и обработки разведывательной информации между агентствами.

О его мотивах. Его перевербовали спецслужбы России, он целиком НАШ проект или просто национал-предатель США?

В реальности всё сложнее. Российским агентом Сноуден, конечно же, не был. А вот идеалистом и патриотом - был. Во время работы он неоднократно сталкивался с лицемерием со стороны спецслужб и государственных структур, и это подорвало его веру в американские идеалы и конституцию США. Причем его разочарование началось гораздо раньше: ещё в армии Сноуден получил “усталостный перелом” обеих ног из-за небезопасных нагрузок на отборах в спецназ.

В госпитале ему предложили “помочь”:
“Ты подписываешь бумаги, что уволился ты сам до травмы, а значит тебя не списывали со службы по состоянию здоровья, и тебе по-прежнему открыты все двери после реабилитации!”
То есть фактически его развели на оплату лечения и компенсации урона здоровью.


А окончательно его вера в собственные идеалы рухнула после прихода Барака Обамы. Новый американский президент пафосно заявил о недопустимости слежки и нарушениях Конституции, после чего … выполнил свои обещания строго наоборот! Дошло до того, что программы по слежке за собственными гражданами, появившимися при республиканце Буше-младшем после 11 сентября, при демократе Обаме были значительно расширены. А ещё во время работы на АНБ он часто видел, как операторы, имеющие доступ к подобным системам, регулярно использовали их для целей, никак не связанных с национальной безопасностью – например, для слежки за бывшими женами или любовницами. Ну или обсуждали добытые таким образом приватные фотографии с коллегами.

Сноуден искренне любил свою страну и верил в её идеалы. Предателем он себя не считал и был уверен, что он действует в интересах граждан США и защищает их от произвола властей. В Россию он первоначально вообще не собирался, просто так вышло, что во время пересадки в Шереметьево его паспорт был аннулирован, и дальнейшие пути оказались либо закрыты, либо небезопасны. Первоначально он вообще улетел в Гонконг и свой дальнейший маршрут строил через страны, откуда нет экстрадиции в США. Так что не удивительно, что рано или поздно он оказался в России.

Продолжение истории про Сноудена

О самой утечке. Он взломал базы данных ЦРУ/АНБ? Нет, он вынес эти данные в кубике рубика!

Сноуден строил систему обмена данными между разными агентствами и их обработки. Фактически, его права доступа были настолько широкими, что взламывать что-либо необходимости не было. Вся опубликованная им информация была получена в рамках исполнения служебных обязанностей, а потому сбор и перемещение данных с сервера на сервер не вызывали вообще никаких подозрений. А чтобы вынести эти данные за пределы сети подрядчика АНБ, Сноуден просто скачал их на домашний компьютер по протоколу SSH. Никто не ограничивал ему удаленный доступ и не контролировал какие данные и куда передаются. Да, даже в больших объемах, такова культура информационной безопасности в подрядчиках спецслужб. Если сотруднику доверяют сами спецслужбы, то его не нужно контролировать в процессе работы. Ага.

А красивая история с “флешкой в кубике рубика” была выдумана сценаристами известного фильма. В реальности всё было куда прозаичнее.

О его роли. Сноуден ничего нового не рассказал, все и так все знали. Нет, он раскрыл глаза всему миру, мы и не подозревали о глобальной слежке!

Здесь тоже сложно, но для широкой общественности Сноуден действительно раскрыл глаза на вещи, которые эту самую общественность глубоко шокировали. Большинство людей даже близко не представляли масштаб сбора данных, а особенно вся эта история шокировала самих граждан США. Специалисты, конечно, не могли не понимать, что в каком-то виде сбор и обработка информации есть, да и слежка ведётся. Но масштабы этой слежки, конкретные технологии и методы до Сноудена были неизвестны ни широкой публике, ни абсолютному большинству экспертов. Да, некоторые вещи предсказывали задолго до него, и Сноуден лишь подтвердил правоту многих специалистов, но многое было совершенно новым. В общем, истина посередине.

О текущей жизни. Он теперь работает в ФСБ?

Его адвокат говорил,что он работает удаленно системным архитектором в одной из российских IT-компаний. Работать на российские силовые структуры он бы вряд ли стал, да и там уж слишком своя кухня и “атмосфера”. Никакой Сноуден там просто не нужен.

В общем, такая история. Миф о Сноудене уже давно живёт сам по себе, и часто это именно миф, а не часть реальной истории. А со своей стороны мы напоминаем, что инсайдеры всегда были, есть и будут одной из главных угроз для любой организации и не важно, кто вы — небольшая IT компания или целое АНБ.

Вирусный челендж в TikTok распространяет троян

В ТикТоке сейчас популярен челендж "невидимое тело" с помощью фильтра "Invisible Body". Он искусно вырезает тело человека, поэтому знаменитости говорят, что снимают ролики обнаженными, но фильтр это прячет.

Злоумышленники участвую в челлендже!
Они активно продвигают видео, где утверждают, что у них есть программа "Unfilter", которая способна "снять фильтр" и показать исходное голое видео.

Пользователи охотно ведутся, качают по указанным ссылкам и получают троян, ворующий банковские карты и аккаунты.
Пострадавших более 30 тысяч.

Вот такой модный фишинг, будьте осторожны в соцсетях.
Технические подробности для интересующихся на Хакере.

Кибершпионаж из Барселоны

Еще один поставщик решений для кибершпионажа был обнаружен исследователями Google (TAG).
Некий аноним прислал в программу bug bounty Google файлы, содержащие исходные коды платформы для кибершпионажа. Исследователи изучили их и утверждают, что разработано шпионское ПО было в Испанской компании Variston. Компания, судя по их сайту, поставщик пользовательских решений по кибербезопасности.

Что именно обнаружили?
- Три отдельные платформы, называемые Heliconia, для взлома Chrome, Microsoft Defender и Firefox.

- Уязвимости, которые использовали Heliconia уже известны и закрыты, однако использовали их ДО исправления, как 0day. Тем самым обеспечивали себе гарантированный успех.

- Использование этих уязвимостей «в дикой природе» ранее исследователи не замечали, значит атаки происходили точечно и крайне избирательно.

- После взлома предлагался широкий инструментарий для слежки за жертвой.

А что дальше?
Неизвестно, будет ли расследование деятельности компании. IT-директор Variston, заявил что ему ничего не известно об исследованиях Google, но «был бы удивлён, если б подобное было бы обнаружено в дикой природе».
До славы израильской NSO-Group о которой мы писали тут, еще далеко, ведь никто не знает, кто был целями слежки. Пока не доказано обратное, всегда можно сказать, что услуги оказывали полиции против наркокартелей и прочего криминала. Хотя и тут аноним может спутать компании карты.

Будем следить за развитием событий!
Технические подробности можно посмотреть тут.

P.S. Мы слышали о работе в Испании как раз по профилю поиска уязвимостей нулевого дня. Активно приглашали к релокации специалистов из России, один товарищ даже уехал. Уж не они ли?

Увидимся на конференции КодИБ Итоги!

- Когда? 8 декабря.
- Где? Москва, Palmira Business Club Hotel.
- А что там? Нетворкинг, ну и послушаем доклады по интересам, секций и лекторов много.

Там я расскажу доклад о том, как стоит проводить проекты по тестированию на проникновение/redteam в реалиях 2022 года, чтобы они были максимально полезны для бизнеса. Это ведь должна быть имитация действий реальных злоумышленников, а не оторванный от реальности проект! За этот год фокусы сильно сместились.

Антон Бочкарев