3side кибербезопасности
«10 миллионов рублей за багбаунти!» - громкое заявление ради пиара Positive Technologies заявили, что готовы заплатить столько за кражу денег со счетов в рамках багбаунти. Что тут не так? Это не уязвимость, это полноценный redteam-проект, использующий целую…
Все больше коллег пытаются донести, что это лишь кривое пояснение для СМИ, поэтому оно так звучит.
А по идее это командный багбаунти, с отдельными доплатами за риски, которые важны бизнесу.
Если это так, то круто и действительно новый подход от PT.
Надеюсь пояснения от PT будут и разрешат этот вопрос.
А по идее это командный багбаунти, с отдельными доплатами за риски, которые важны бизнесу.
Если это так, то круто и действительно новый подход от PT.
Надеюсь пояснения от PT будут и разрешат этот вопрос.
👍13😁3🔥1
Минцифры провело исследование уровня грамотности россиян в сфере ИБ — результаты ... не обнадёживают
Собственно говоря, суть исследования — оценить знания жителей России в сфере возможных угроз и способов защиты от них. Причем судя по описанию, вопросы покрывали достаточно актуальные: от антивирусного ПО до социальной инженерии. Итоговый результат оценили в 48,2 пункта (наверное, это не очень хорошо), но нам интереснее другое. А именно — ответы на конкретные вопросы.
И вот тут картина не очень хорошая: 41% россиян вообще не смогли назвать ни одной возможной угрозы. То есть возможность отправить деньги мошенникам (социальная инженерия) либо не рассматривается ими именно как угроза в сфере ИБ, либо просто не рассматривается. При том, что 16% назвали как раз телефонное мошенничество. В общем, или всё очень плохо, или проблема в разной трактовке понятия ИБ.
Ожидаемо, лучше всех себя показала категория 25-34 года, для более возрастных респондентов картина хуже. Для возраста 13-17 лет угрозы ожидаемо другие (там в первую очередь история про соцсети). Причем слово "фишинг" знакомо только 14% респондентов — и вот это уже реальная проблема. Ну, или тоже явление понятное, а слова такого умного не знают. Всё может быть.
Что характерно, россияне прекрасно понимают свои проблемы: тот же 41% респондентов оценил себя на 1-3 балла. Правда, если вопрос задавали в конце, то множество ответов "не знаю" могли как-то повлиять на мнение респондентов.
Резюмируя: с ИБ картина примерно такая же, как с финансовой грамотностью, которую ЦБ долго пропагандировал а потом плавно решил дрейфовать в сторону застрахованных счетов. В любом случае, рассказывать про ИБ важно, даже если повышение этой самой грамотности происходит не самыми быстрыми темпами. Круто, что Минцифры это делает — реально важная работа.
Собственно говоря, суть исследования — оценить знания жителей России в сфере возможных угроз и способов защиты от них. Причем судя по описанию, вопросы покрывали достаточно актуальные: от антивирусного ПО до социальной инженерии. Итоговый результат оценили в 48,2 пункта (наверное, это не очень хорошо), но нам интереснее другое. А именно — ответы на конкретные вопросы.
И вот тут картина не очень хорошая: 41% россиян вообще не смогли назвать ни одной возможной угрозы. То есть возможность отправить деньги мошенникам (социальная инженерия) либо не рассматривается ими именно как угроза в сфере ИБ, либо просто не рассматривается. При том, что 16% назвали как раз телефонное мошенничество. В общем, или всё очень плохо, или проблема в разной трактовке понятия ИБ.
Ожидаемо, лучше всех себя показала категория 25-34 года, для более возрастных респондентов картина хуже. Для возраста 13-17 лет угрозы ожидаемо другие (там в первую очередь история про соцсети). Причем слово "фишинг" знакомо только 14% респондентов — и вот это уже реальная проблема. Ну, или тоже явление понятное, а слова такого умного не знают. Всё может быть.
Что характерно, россияне прекрасно понимают свои проблемы: тот же 41% респондентов оценил себя на 1-3 балла. Правда, если вопрос задавали в конце, то множество ответов "не знаю" могли как-то повлиять на мнение респондентов.
Резюмируя: с ИБ картина примерно такая же, как с финансовой грамотностью, которую ЦБ долго пропагандировал а потом плавно решил дрейфовать в сторону застрахованных счетов. В любом случае, рассказывать про ИБ важно, даже если повышение этой самой грамотности происходит не самыми быстрыми темпами. Круто, что Минцифры это делает — реально важная работа.
👍16🔥1
Управление рисками и кибербезопасность
Риск-менеджмент — это такая довольно важная штука для практически любого бизнеса. Рисков бывает куча типов, у всех свои ключевые риски, и здесь главная идея — не уход от риска в целом, а разумное снижение вероятности его наступления. То есть мы не пытаемся любой ценой минимизировать вероятность наступления негативного события — мы определяем баланс между последствиями и стоимостью снижения вероятности их наступления.
Грубо говоря, существуют бизнес, для которого борьба с киберрисками бессмысленна. Самый простой пример — это палатка с шаурмой у вокзала. А бывает и совсем наоборот — вспоминаем историю про заправку. В общем, самое главное в этом вопросе — разумность и взвешенность.
По нашему опыту — к нам часто приходят уже после того, как проблемы в сфере безопасности реализовались. Не всегда катастрофическим образом, но "звонок" прозвенел и бизнес понял, что вот сейчас у него будет проблема. Можно считать, что это нормально ... но это нехорошо. В идеале, картина должна быть совсем другой.
Самый главный вопрос, который рано или поздно может (и должен?) задать себе любой CEO или CTO звучит так: "что я потеряю, если риск реализуется и сколько стоит защита". И управление рисками ИБ в любой компании начинается с ответа на этот вопрос. Ответ может быть "ничего не потеряю", или может быть "я потеряю бизнес". Самое главное — чтобы ситуация должна быть управляемой. А про методы количественной оценки риска мы ещё поговорим.
Риск-менеджмент — это такая довольно важная штука для практически любого бизнеса. Рисков бывает куча типов, у всех свои ключевые риски, и здесь главная идея — не уход от риска в целом, а разумное снижение вероятности его наступления. То есть мы не пытаемся любой ценой минимизировать вероятность наступления негативного события — мы определяем баланс между последствиями и стоимостью снижения вероятности их наступления.
Грубо говоря, существуют бизнес, для которого борьба с киберрисками бессмысленна. Самый простой пример — это палатка с шаурмой у вокзала. А бывает и совсем наоборот — вспоминаем историю про заправку. В общем, самое главное в этом вопросе — разумность и взвешенность.
По нашему опыту — к нам часто приходят уже после того, как проблемы в сфере безопасности реализовались. Не всегда катастрофическим образом, но "звонок" прозвенел и бизнес понял, что вот сейчас у него будет проблема. Можно считать, что это нормально ... но это нехорошо. В идеале, картина должна быть совсем другой.
Самый главный вопрос, который рано или поздно может (и должен?) задать себе любой CEO или CTO звучит так: "что я потеряю, если риск реализуется и сколько стоит защита". И управление рисками ИБ в любой компании начинается с ответа на этот вопрос. Ответ может быть "ничего не потеряю", или может быть "я потеряю бизнес". Самое главное — чтобы ситуация должна быть управляемой. А про методы количественной оценки риска мы ещё поговорим.
👍7🔥1
Тут вышло интервью с Антоном для казанского Enter
"Миссия компании — сделать услуги по кибербезопасности прозрачными, надежными и доступными малому бизнесу. Проблема современного информационного рынка в том, что из-за цепочки посредников клиент до конца не понимает, кто будет выполнять заказ. Мы решили эту проблему и создали первый в России агрегатор услуг по кибербезопасности."
И ещё пара слов о том, как мы дошли до жизни такой, какой продукт мы создаём и самое главное — для кого мы это делаем.
"Миссия компании — сделать услуги по кибербезопасности прозрачными, надежными и доступными малому бизнесу. Проблема современного информационного рынка в том, что из-за цепочки посредников клиент до конца не понимает, кто будет выполнять заказ. Мы решили эту проблему и создали первый в России агрегатор услуг по кибербезопасности."
И ещё пара слов о том, как мы дошли до жизни такой, какой продукт мы создаём и самое главное — для кого мы это делаем.
👍5🔥1👏1
"Так безопасно?" №4: Как техдиру говорить про кибербезопасность и деньги?
По результатам вчерашнего поста про управление рисками, у нас возник один небольшой спор с коллегами о том, как техдир должен обосновывать свои расходы. Эта история не совсем про наш бизнес, но мы попробуем ответить (тем более, что бэкграунд у Артёма всё равно в финансах).
Самое главное — ваш CEO\CFO мыслит в других категориях. С CTO наверное проще, но если у вашей компании есть отдельный CTO и вертикаль под ним — то, наверное, какие-то понятия о безопасности у вас есть. А если есть CISO то вообще прекрасно и говорить придется уже ему.
Начать в любом случае надо с того, чтобы перевести возможную угрозу в разряд денег. Просто говорить "нас могут взломать" — недостаточно, потому что сразу возникнет здравый вопрос "и чем нам это грозит"? Хорошо бы сразу понимать, в какие конкретно потери эта история может вылиться. Потому что говорить "наша база клиентов утечет к конкурентам" — это одно, а "если наши продажи упадут на 10%, то нас зашифруют и будут потери от простоя на XXX рублей" — это другое. Никто не любит абстракции, все любят бабки.
Сделать такую "бизнесовую" оценку для человека из IT/ИБ может быть тяжело, но если вы доросли до Head of что-нибудь, то вам рано или поздно придётся вгружаться в бизнесовую составляющую. Это в любом случае полезно.
Второй момент — это правильно оценивать ваши возможности и реальность угроз. Потому что если вы понимаете, что проблема реальна, жопа (извините) полная, то лучше уже сейчас идти к тому, кто распоряжается деньгами и говорить "есть проблема". Нет, конечно, конкретная стратегия зависит от того места, где вы работаете — но общая идея именно такая. CTO, который "обо всём предупреждал" лучше CTO, который молчал. Кстати, именно таким CTO мы иногда продаём расследование инцидентов.
В общем, главное — это интерпретировать проблему в деньгах. Идея, вроде бы, совсем очевидная, но мы часто видим колоссальную пропасть в мышлении "чуваков из IT/ИБ" и "людей, которые распоряжаются деньгами".
По результатам вчерашнего поста про управление рисками, у нас возник один небольшой спор с коллегами о том, как техдир должен обосновывать свои расходы. Эта история не совсем про наш бизнес, но мы попробуем ответить (тем более, что бэкграунд у Артёма всё равно в финансах).
Самое главное — ваш CEO\CFO мыслит в других категориях. С CTO наверное проще, но если у вашей компании есть отдельный CTO и вертикаль под ним — то, наверное, какие-то понятия о безопасности у вас есть. А если есть CISO то вообще прекрасно и говорить придется уже ему.
Начать в любом случае надо с того, чтобы перевести возможную угрозу в разряд денег. Просто говорить "нас могут взломать" — недостаточно, потому что сразу возникнет здравый вопрос "и чем нам это грозит"? Хорошо бы сразу понимать, в какие конкретно потери эта история может вылиться. Потому что говорить "наша база клиентов утечет к конкурентам" — это одно, а "если наши продажи упадут на 10%, то нас зашифруют и будут потери от простоя на XXX рублей" — это другое. Никто не любит абстракции, все любят бабки.
Сделать такую "бизнесовую" оценку для человека из IT/ИБ может быть тяжело, но если вы доросли до Head of что-нибудь, то вам рано или поздно придётся вгружаться в бизнесовую составляющую. Это в любом случае полезно.
Второй момент — это правильно оценивать ваши возможности и реальность угроз. Потому что если вы понимаете, что проблема реальна, жопа (извините) полная, то лучше уже сейчас идти к тому, кто распоряжается деньгами и говорить "есть проблема". Нет, конечно, конкретная стратегия зависит от того места, где вы работаете — но общая идея именно такая. CTO, который "обо всём предупреждал" лучше CTO, который молчал. Кстати, именно таким CTO мы иногда продаём расследование инцидентов.
В общем, главное — это интерпретировать проблему в деньгах. Идея, вроде бы, совсем очевидная, но мы часто видим колоссальную пропасть в мышлении "чуваков из IT/ИБ" и "людей, которые распоряжаются деньгами".
👍17🔥1
Управление ИБ в компании — это не сложно и не дорого
Чем больше мы общаемся с совершенно разными людьми (из стартапов, традиционного бизнеса, из разных индустрий) тем чаще мы встречаемся с двумя очень популярными мифами.
1) Информационная безопасность — это дорого. На самом деле, правильный вариант этой фразы звучит как "ИБ может быть очень дорогим". А может быть и нет. А может быть вам не нужно ИБ за 20 миллионов рублей даже если у вас есть на него деньги. У нас был очень разный опыт общения с заказчиками (и потенциальными заказчиками), и мы можем точно сказать одно. Зачастую на рынке взаимосвязь между стоимостью услуги и её ценностью для бизнеса если и не отсутствует, то бывает достаточно неочевидной. Это не значит, что сделают плохо. Это значит, что даже дорогая и классно сделанная услуга зачастую этому конкретному заказчику просто не нужна.
2) ИБ — это сложно. В реальности нет, ИБ — это так же про бизнес, как программа управления логистикой или трекинг грузовиков. Здесь нет вообще ничего такого, что нельзя было бы понять. Всё интуитивно просто, а главное — ИБ всегда "закрывает" те или иные угрозы бизнесу.
В общем, ничего сложного или страшного здесь нет. Будут вопросы - пишите)
А завтра у нас выйдет большой лиебез про самый знаменитый в истории слив данных. Там тоже очень и очень поучительная история.
Чем больше мы общаемся с совершенно разными людьми (из стартапов, традиционного бизнеса, из разных индустрий) тем чаще мы встречаемся с двумя очень популярными мифами.
1) Информационная безопасность — это дорого. На самом деле, правильный вариант этой фразы звучит как "ИБ может быть очень дорогим". А может быть и нет. А может быть вам не нужно ИБ за 20 миллионов рублей даже если у вас есть на него деньги. У нас был очень разный опыт общения с заказчиками (и потенциальными заказчиками), и мы можем точно сказать одно. Зачастую на рынке взаимосвязь между стоимостью услуги и её ценностью для бизнеса если и не отсутствует, то бывает достаточно неочевидной. Это не значит, что сделают плохо. Это значит, что даже дорогая и классно сделанная услуга зачастую этому конкретному заказчику просто не нужна.
2) ИБ — это сложно. В реальности нет, ИБ — это так же про бизнес, как программа управления логистикой или трекинг грузовиков. Здесь нет вообще ничего такого, что нельзя было бы понять. Всё интуитивно просто, а главное — ИБ всегда "закрывает" те или иные угрозы бизнесу.
В общем, ничего сложного или страшного здесь нет. Будут вопросы - пишите)
А завтра у нас выйдет большой лиебез про самый знаменитый в истории слив данных. Там тоже очень и очень поучительная история.
👍18🔥1
Утечки данных — одна из главных киберугроз современности
Конфиденциальные данные компаний утекают в сеть. Это может быть клиентская база (привет, доставка еды), технические материалы, да что угодно. Зачастую, сами пострадавшие компании позиционируют их как взлом со стороны — гораздо проще свалить вину на "анонимных хакеров" чем признать собственные глубокие проблемы в управлении информационной безопасностью.
Иногда от таких утечек страдают целые государства, или точнее — власти этих государств. Ниже — разбор самых популярных мифов об Эдварде Сноудене, идеалисте, патриоте своей страны и бывшем сотруднике АНБ — одной из самых влиятельных спецслужб в мире. Будучи сотрудником одного из её подрядчиков и разочаровавшись в её культуре, Сноуден опубликовал массу конфиденциальной информации, явив миру неприглядную картину того, чего боялись параноики всего мира — программы тотальной правительственной слежки за собственными (и не только) гражданами.
История Сноудена — пример не только того, как один человек может изменить мир. Это пример грандиозного провала в информационной безопасности огромного и влиятельнейшего правительственного агентства.
Конфиденциальные данные компаний утекают в сеть. Это может быть клиентская база (привет, доставка еды), технические материалы, да что угодно. Зачастую, сами пострадавшие компании позиционируют их как взлом со стороны — гораздо проще свалить вину на "анонимных хакеров" чем признать собственные глубокие проблемы в управлении информационной безопасностью.
Иногда от таких утечек страдают целые государства, или точнее — власти этих государств. Ниже — разбор самых популярных мифов об Эдварде Сноудене, идеалисте, патриоте своей страны и бывшем сотруднике АНБ — одной из самых влиятельных спецслужб в мире. Будучи сотрудником одного из её подрядчиков и разочаровавшись в её культуре, Сноуден опубликовал массу конфиденциальной информации, явив миру неприглядную картину того, чего боялись параноики всего мира — программы тотальной правительственной слежки за собственными (и не только) гражданами.
История Сноудена — пример не только того, как один человек может изменить мир. Это пример грандиозного провала в информационной безопасности огромного и влиятельнейшего правительственного агентства.
👍14🔥1
Эдвард Сноуден. Мифы
Прошло уже практически 10 лет, а мне до сих пор продолжают рассказывать удивительные истории об Эдварде Сноудене. А ведь вышло за это время несколько документальных фильмов и даже автобиографическая книга! Все привыкли делать выводы по кликбейтным заголовками и художественному кино, поэтому и родился этот небольшой ликбез с самыми распространенными в моем окружении заблуждениями.
О его работе. Сноуден был обычным сисадмином или кадровым сотрудником спецслужб?
Смотря когда. Сноуден работал в ЦРУ за несколько лет до событий с утечками. В Женеве он оказывал техническую поддержку настоящим агентам-нелегалам, по сути обеспечивал их связью на местах. Сисадмин-агент-нелегал для задач вроде “перезагрузите пожалуйста ваш шпионский компьютер”, но быстро оттуда уволился. По его словам - после того как увидел, какими методами агенты добывают информацию (шантаж, провокации, подставы).
Во время событий 2013 года он был системным архитектором в подрядчике Агентства Национальной Безопасности (АНБ). То есть сотрудником самой службы он не был, но был проверен и аккредитован для доступа к секретным сведениям. И вот уже тогда она занимался гораздо более сложными задачами – например, проектировал систему обмена и обработки разведывательной информации между агентствами.
О его мотивах. Его перевербовали спецслужбы России, он целиком НАШ проект или просто национал-предатель США?
В реальности всё сложнее. Российским агентом Сноуден, конечно же, не был. А вот идеалистом и патриотом - был. Во время работы он неоднократно сталкивался с лицемерием со стороны спецслужб и государственных структур, и это подорвало его веру в американские идеалы и конституцию США. Причем его разочарование началось гораздо раньше: ещё в армии Сноуден получил “усталостный перелом” обеих ног из-за небезопасных нагрузок на отборах в спецназ.
В госпитале ему предложили “помочь”:
“Ты подписываешь бумаги, что уволился ты сам до травмы, а значит тебя не списывали со службы по состоянию здоровья, и тебе по-прежнему открыты все двери после реабилитации!”
То есть фактически его развели на оплату лечения и компенсации урона здоровью.
А окончательно его вера в собственные идеалы рухнула после прихода Барака Обамы. Новый американский президент пафосно заявил о недопустимости слежки и нарушениях Конституции, после чего … выполнил свои обещания строго наоборот! Дошло до того, что программы по слежке за собственными гражданами, появившимися при республиканце Буше-младшем после 11 сентября, при демократе Обаме были значительно расширены. А ещё во время работы на АНБ он часто видел, как операторы, имеющие доступ к подобным системам, регулярно использовали их для целей, никак не связанных с национальной безопасностью – например, для слежки за бывшими женами или любовницами. Ну или обсуждали добытые таким образом приватные фотографии с коллегами.
Сноуден искренне любил свою страну и верил в её идеалы. Предателем он себя не считал и был уверен, что он действует в интересах граждан США и защищает их от произвола властей. В Россию он первоначально вообще не собирался, просто так вышло, что во время пересадки в Шереметьево его паспорт был аннулирован, и дальнейшие пути оказались либо закрыты, либо небезопасны. Первоначально он вообще улетел в Гонконг и свой дальнейший маршрут строил через страны, откуда нет экстрадиции в США. Так что не удивительно, что рано или поздно он оказался в России.
Прошло уже практически 10 лет, а мне до сих пор продолжают рассказывать удивительные истории об Эдварде Сноудене. А ведь вышло за это время несколько документальных фильмов и даже автобиографическая книга! Все привыкли делать выводы по кликбейтным заголовками и художественному кино, поэтому и родился этот небольшой ликбез с самыми распространенными в моем окружении заблуждениями.
О его работе. Сноуден был обычным сисадмином или кадровым сотрудником спецслужб?
Смотря когда. Сноуден работал в ЦРУ за несколько лет до событий с утечками. В Женеве он оказывал техническую поддержку настоящим агентам-нелегалам, по сути обеспечивал их связью на местах. Сисадмин-агент-нелегал для задач вроде “перезагрузите пожалуйста ваш шпионский компьютер”, но быстро оттуда уволился. По его словам - после того как увидел, какими методами агенты добывают информацию (шантаж, провокации, подставы).
Во время событий 2013 года он был системным архитектором в подрядчике Агентства Национальной Безопасности (АНБ). То есть сотрудником самой службы он не был, но был проверен и аккредитован для доступа к секретным сведениям. И вот уже тогда она занимался гораздо более сложными задачами – например, проектировал систему обмена и обработки разведывательной информации между агентствами.
О его мотивах. Его перевербовали спецслужбы России, он целиком НАШ проект или просто национал-предатель США?
В реальности всё сложнее. Российским агентом Сноуден, конечно же, не был. А вот идеалистом и патриотом - был. Во время работы он неоднократно сталкивался с лицемерием со стороны спецслужб и государственных структур, и это подорвало его веру в американские идеалы и конституцию США. Причем его разочарование началось гораздо раньше: ещё в армии Сноуден получил “усталостный перелом” обеих ног из-за небезопасных нагрузок на отборах в спецназ.
В госпитале ему предложили “помочь”:
“Ты подписываешь бумаги, что уволился ты сам до травмы, а значит тебя не списывали со службы по состоянию здоровья, и тебе по-прежнему открыты все двери после реабилитации!”
То есть фактически его развели на оплату лечения и компенсации урона здоровью.
А окончательно его вера в собственные идеалы рухнула после прихода Барака Обамы. Новый американский президент пафосно заявил о недопустимости слежки и нарушениях Конституции, после чего … выполнил свои обещания строго наоборот! Дошло до того, что программы по слежке за собственными гражданами, появившимися при республиканце Буше-младшем после 11 сентября, при демократе Обаме были значительно расширены. А ещё во время работы на АНБ он часто видел, как операторы, имеющие доступ к подобным системам, регулярно использовали их для целей, никак не связанных с национальной безопасностью – например, для слежки за бывшими женами или любовницами. Ну или обсуждали добытые таким образом приватные фотографии с коллегами.
Сноуден искренне любил свою страну и верил в её идеалы. Предателем он себя не считал и был уверен, что он действует в интересах граждан США и защищает их от произвола властей. В Россию он первоначально вообще не собирался, просто так вышло, что во время пересадки в Шереметьево его паспорт был аннулирован, и дальнейшие пути оказались либо закрыты, либо небезопасны. Первоначально он вообще улетел в Гонконг и свой дальнейший маршрут строил через страны, откуда нет экстрадиции в США. Так что не удивительно, что рано или поздно он оказался в России.
👍50🔥1
3side кибербезопасности
Эдвард Сноуден. Мифы Прошло уже практически 10 лет, а мне до сих пор продолжают рассказывать удивительные истории об Эдварде Сноудене. А ведь вышло за это время несколько документальных фильмов и даже автобиографическая книга! Все привыкли делать выводы по…
Продолжение истории про Сноудена
О самой утечке. Он взломал базы данных ЦРУ/АНБ? Нет, он вынес эти данные в кубике рубика!
Сноуден строил систему обмена данными между разными агентствами и их обработки. Фактически, его права доступа были настолько широкими, что взламывать что-либо необходимости не было. Вся опубликованная им информация была получена в рамках исполнения служебных обязанностей, а потому сбор и перемещение данных с сервера на сервер не вызывали вообще никаких подозрений. А чтобы вынести эти данные за пределы сети подрядчика АНБ, Сноуден просто скачал их на домашний компьютер по протоколу SSH. Никто не ограничивал ему удаленный доступ и не контролировал какие данные и куда передаются. Да, даже в больших объемах, такова культура информационной безопасности в подрядчиках спецслужб. Если сотруднику доверяют сами спецслужбы, то его не нужно контролировать в процессе работы. Ага.
А красивая история с “флешкой в кубике рубика” была выдумана сценаристами известного фильма. В реальности всё было куда прозаичнее.
О его роли. Сноуден ничего нового не рассказал, все и так все знали. Нет, он раскрыл глаза всему миру, мы и не подозревали о глобальной слежке!
Здесь тоже сложно, но для широкой общественности Сноуден действительно раскрыл глаза на вещи, которые эту самую общественность глубоко шокировали. Большинство людей даже близко не представляли масштаб сбора данных, а особенно вся эта история шокировала самих граждан США. Специалисты, конечно, не могли не понимать, что в каком-то виде сбор и обработка информации есть, да и слежка ведётся. Но масштабы этой слежки, конкретные технологии и методы до Сноудена были неизвестны ни широкой публике, ни абсолютному большинству экспертов. Да, некоторые вещи предсказывали задолго до него, и Сноуден лишь подтвердил правоту многих специалистов, но многое было совершенно новым. В общем, истина посередине.
О текущей жизни. Он теперь работает в ФСБ?
Его адвокат говорил,что он работает удаленно системным архитектором в одной из российских IT-компаний. Работать на российские силовые структуры он бы вряд ли стал, да и там уж слишком своя кухня и “атмосфера”. Никакой Сноуден там просто не нужен.
В общем, такая история. Миф о Сноудене уже давно живёт сам по себе, и часто это именно миф, а не часть реальной истории. А со своей стороны мы напоминаем, что инсайдеры всегда были, есть и будут одной из главных угроз для любой организации и не важно, кто вы — небольшая IT компания или целое АНБ.
О самой утечке. Он взломал базы данных ЦРУ/АНБ? Нет, он вынес эти данные в кубике рубика!
Сноуден строил систему обмена данными между разными агентствами и их обработки. Фактически, его права доступа были настолько широкими, что взламывать что-либо необходимости не было. Вся опубликованная им информация была получена в рамках исполнения служебных обязанностей, а потому сбор и перемещение данных с сервера на сервер не вызывали вообще никаких подозрений. А чтобы вынести эти данные за пределы сети подрядчика АНБ, Сноуден просто скачал их на домашний компьютер по протоколу SSH. Никто не ограничивал ему удаленный доступ и не контролировал какие данные и куда передаются. Да, даже в больших объемах, такова культура информационной безопасности в подрядчиках спецслужб. Если сотруднику доверяют сами спецслужбы, то его не нужно контролировать в процессе работы. Ага.
А красивая история с “флешкой в кубике рубика” была выдумана сценаристами известного фильма. В реальности всё было куда прозаичнее.
О его роли. Сноуден ничего нового не рассказал, все и так все знали. Нет, он раскрыл глаза всему миру, мы и не подозревали о глобальной слежке!
Здесь тоже сложно, но для широкой общественности Сноуден действительно раскрыл глаза на вещи, которые эту самую общественность глубоко шокировали. Большинство людей даже близко не представляли масштаб сбора данных, а особенно вся эта история шокировала самих граждан США. Специалисты, конечно, не могли не понимать, что в каком-то виде сбор и обработка информации есть, да и слежка ведётся. Но масштабы этой слежки, конкретные технологии и методы до Сноудена были неизвестны ни широкой публике, ни абсолютному большинству экспертов. Да, некоторые вещи предсказывали задолго до него, и Сноуден лишь подтвердил правоту многих специалистов, но многое было совершенно новым. В общем, истина посередине.
О текущей жизни. Он теперь работает в ФСБ?
Его адвокат говорил,что он работает удаленно системным архитектором в одной из российских IT-компаний. Работать на российские силовые структуры он бы вряд ли стал, да и там уж слишком своя кухня и “атмосфера”. Никакой Сноуден там просто не нужен.
В общем, такая история. Миф о Сноудене уже давно живёт сам по себе, и часто это именно миф, а не часть реальной истории. А со своей стороны мы напоминаем, что инсайдеры всегда были, есть и будут одной из главных угроз для любой организации и не важно, кто вы — небольшая IT компания или целое АНБ.
👍60🔥1
Вирусный челендж в TikTok распространяет троян
В ТикТоке сейчас популярен челендж "невидимое тело" с помощью фильтра "Invisible Body". Он искусно вырезает тело человека, поэтому знаменитости говорят, что снимают ролики обнаженными, но фильтр это прячет.
Злоумышленники участвую в челлендже!
Они активно продвигают видео, где утверждают, что у них есть программа "Unfilter", которая способна "снять фильтр" и показать исходное голое видео.
Пользователи охотно ведутся, качают по указанным ссылкам и получают троян, ворующий банковские карты и аккаунты.
Пострадавших более 30 тысяч.
Вот такой модный фишинг, будьте осторожны в соцсетях.
Технические подробности для интересующихся на Хакере.
В ТикТоке сейчас популярен челендж "невидимое тело" с помощью фильтра "Invisible Body". Он искусно вырезает тело человека, поэтому знаменитости говорят, что снимают ролики обнаженными, но фильтр это прячет.
Злоумышленники участвую в челлендже!
Они активно продвигают видео, где утверждают, что у них есть программа "Unfilter", которая способна "снять фильтр" и показать исходное голое видео.
Пользователи охотно ведутся, качают по указанным ссылкам и получают троян, ворующий банковские карты и аккаунты.
Пострадавших более 30 тысяч.
Вот такой модный фишинг, будьте осторожны в соцсетях.
Технические подробности для интересующихся на Хакере.
XAKEP
Малварь распространяется через популярный челлендж в TikTok
Обнаружилось, что хакеры эксплуатируют популярный челлендж в TikTok (Invisible Challenge), чтобы распространять среди пользователей малварь, которая ворует пароли, учетные записи Discord и данные криптовалютных кошельков. Атака оказалась настолько успешной…
😁17👍6🤡6🔥1
Кибершпионаж из Барселоны
Еще один поставщик решений для кибершпионажа был обнаружен исследователями Google (TAG).
Некий аноним прислал в программу bug bounty Google файлы, содержащие исходные коды платформы для кибершпионажа. Исследователи изучили их и утверждают, что разработано шпионское ПО было в Испанской компании Variston. Компания, судя по их сайту, поставщик пользовательских решений по кибербезопасности.
Что именно обнаружили?
- Три отдельные платформы, называемые Heliconia, для взлома Chrome, Microsoft Defender и Firefox.
- Уязвимости, которые использовали Heliconia уже известны и закрыты, однако использовали их ДО исправления, как 0day. Тем самым обеспечивали себе гарантированный успех.
- Использование этих уязвимостей «в дикой природе» ранее исследователи не замечали, значит атаки происходили точечно и крайне избирательно.
- После взлома предлагался широкий инструментарий для слежки за жертвой.
А что дальше?
Неизвестно, будет ли расследование деятельности компании. IT-директор Variston, заявил что ему ничего не известно об исследованиях Google, но «был бы удивлён, если б подобное было бы обнаружено в дикой природе».
До славы израильской NSO-Group о которой мы писали тут, еще далеко, ведь никто не знает, кто был целями слежки. Пока не доказано обратное, всегда можно сказать, что услуги оказывали полиции против наркокартелей и прочего криминала. Хотя и тут аноним может спутать компании карты.
Будем следить за развитием событий!
Технические подробности можно посмотреть тут.
P.S. Мы слышали о работе в Испании как раз по профилю поиска уязвимостей нулевого дня. Активно приглашали к релокации специалистов из России, один товарищ даже уехал. Уж не они ли?
Еще один поставщик решений для кибершпионажа был обнаружен исследователями Google (TAG).
Некий аноним прислал в программу bug bounty Google файлы, содержащие исходные коды платформы для кибершпионажа. Исследователи изучили их и утверждают, что разработано шпионское ПО было в Испанской компании Variston. Компания, судя по их сайту, поставщик пользовательских решений по кибербезопасности.
Что именно обнаружили?
- Три отдельные платформы, называемые Heliconia, для взлома Chrome, Microsoft Defender и Firefox.
- Уязвимости, которые использовали Heliconia уже известны и закрыты, однако использовали их ДО исправления, как 0day. Тем самым обеспечивали себе гарантированный успех.
- Использование этих уязвимостей «в дикой природе» ранее исследователи не замечали, значит атаки происходили точечно и крайне избирательно.
- После взлома предлагался широкий инструментарий для слежки за жертвой.
А что дальше?
Неизвестно, будет ли расследование деятельности компании. IT-директор Variston, заявил что ему ничего не известно об исследованиях Google, но «был бы удивлён, если б подобное было бы обнаружено в дикой природе».
До славы израильской NSO-Group о которой мы писали тут, еще далеко, ведь никто не знает, кто был целями слежки. Пока не доказано обратное, всегда можно сказать, что услуги оказывали полиции против наркокартелей и прочего криминала. Хотя и тут аноним может спутать компании карты.
Будем следить за развитием событий!
Технические подробности можно посмотреть тут.
P.S. Мы слышали о работе в Испании как раз по профилю поиска уязвимостей нулевого дня. Активно приглашали к релокации специалистов из России, один товарищ даже уехал. Уж не они ли?
👍13🔥1
Увидимся на конференции КодИБ Итоги!
- Когда? 8 декабря.
- Где? Москва, Palmira Business Club Hotel.
- А что там? Нетворкинг, ну и послушаем доклады по интересам, секций и лекторов много.
Там я расскажу доклад о том, как стоит проводить проекты по тестированию на проникновение/redteam в реалиях 2022 года, чтобы они были максимально полезны для бизнеса. Это ведь должна быть имитация действий реальных злоумышленников, а не оторванный от реальности проект! За этот год фокусы сильно сместились.
Антон Бочкарев
- Когда? 8 декабря.
- Где? Москва, Palmira Business Club Hotel.
- А что там? Нетворкинг, ну и послушаем доклады по интересам, секций и лекторов много.
Там я расскажу доклад о том, как стоит проводить проекты по тестированию на проникновение/redteam в реалиях 2022 года, чтобы они были максимально полезны для бизнеса. Это ведь должна быть имитация действий реальных злоумышленников, а не оторванный от реальности проект! За этот год фокусы сильно сместились.
Антон Бочкарев
Telegram
КОД ИБ: информационная безопасность
🔳 Министерство цифрового развития, связи и коммуникации РФ на конференции Код ИБ Итоги
В секции «диалог с регулятором» на конференции 8 декабря в Москве мы ждем Хасина Евгения Владимировича, представителя Минцифры, чтобы обсудить следующие вопросы:
— Как…
В секции «диалог с регулятором» на конференции 8 декабря в Москве мы ждем Хасина Евгения Владимировича, представителя Минцифры, чтобы обсудить следующие вопросы:
— Как…
👍3🔥1
Следующий пост - не коммерческая реклама, а наша рекомендация
Если хотите разместить что-либо по тематике кибербезопасности у нас в канале, например статью или анонс мероприятия, напишите нам об этом.
Если хотите разместить что-либо по тематике кибербезопасности у нас в канале, например статью или анонс мероприятия, напишите нам об этом.
👍4🔥1🤔1
Согласно исследованиям, в 2022 году более 25% россиян находятся в состоянии постоянного стресса. Во многих компаниях руководство вынуждено мириться с удаленной работой сотрудников. В таких условиях становится особенно важно проводить мониторинг их действий и учет рабочего времени.
AM Live: Контроль действий и эффективности персонала
📆7 декабря в 11:00
В прямом эфире обсудим:
🔹Цели и задачи мониторинга и контроля действий сотрудников
🔹Практики внедрения систем контроля действий сотрудников
🔹Как системы контроля действий сотрудников совмещать с DLP?
🔹Как СВО и последующие события повлияли на применение систем контроля действий сотрудников?
Кому подойдет:
🔹Руководителям бизнес-подразделений, отдела кадров, службы информационной и собственной безопасности
🔹ИБ/IT специалистам
Принять участие
AM Live: Контроль действий и эффективности персонала
📆7 декабря в 11:00
В прямом эфире обсудим:
🔹Цели и задачи мониторинга и контроля действий сотрудников
🔹Практики внедрения систем контроля действий сотрудников
🔹Как системы контроля действий сотрудников совмещать с DLP?
🔹Как СВО и последующие события повлияли на применение систем контроля действий сотрудников?
Кому подойдет:
🔹Руководителям бизнес-подразделений, отдела кадров, службы информационной и собственной безопасности
🔹ИБ/IT специалистам
Принять участие
AM Live
Контроль действий и эффективности персонала | Запись прямого эфира - AM Live
Согласно исследованиям, в 2022 году более 25% россиян находятся в состоянии постоянного стресса. Во многих компаниях руководство вынуждено мириться с удаленной работой сотрудников. В таких условиях становится особенно важно проводить мониторинг их действий…
👍4👎2🔥1
Рынок вредоносного ПО для смартфонов
Чем только не торговали в TORe, теперь вот там нашли крупнейший рынок вредоносного ПО для смартфонов. Вредоносы и инжекты там на любой вкус, но в основном на Android. Суммарно там более 400 проектов, разбитых по географии, атакуемым приложениям и целям.
Инжекты, используемые для кражи данных, продаются по подписке, включая даже "безлимит". Современные модель бизнеса - вредонос как услуга! "Malware as a service", хотя чаще "inject as a service", полноценный вирус гораздо дороже. Такая модель бизнеса позволяет свести к минимуму взаимодействие разработчика и того, кто будет распространять - оператора.
Обнаружили и изучили площадку исследователи компании Resecurity, полный их отчет можно прочитать тут.
Можем делать ставки, сколько еще проживет площадка после этой публикации? ФБР ваш выход!
Чем только не торговали в TORe, теперь вот там нашли крупнейший рынок вредоносного ПО для смартфонов. Вредоносы и инжекты там на любой вкус, но в основном на Android. Суммарно там более 400 проектов, разбитых по географии, атакуемым приложениям и целям.
Инжекты, используемые для кражи данных, продаются по подписке, включая даже "безлимит". Современные модель бизнеса - вредонос как услуга! "Malware as a service", хотя чаще "inject as a service", полноценный вирус гораздо дороже. Такая модель бизнеса позволяет свести к минимуму взаимодействие разработчика и того, кто будет распространять - оператора.
Обнаружили и изучили площадку исследователи компании Resecurity, полный их отчет можно прочитать тут.
Можем делать ставки, сколько еще проживет площадка после этой публикации? ФБР ваш выход!
👍16🔥1
«В России практически уничтожен бизнес кардеров» Baza
Да, но в причинах мы с Базой категорически не согласны! Российский кардинг практически мертв уже много лет, а говорить о том, что он в таком состоянии из-за того, что наши карты работают в основном только в РФ нельзя.
Мертв он потому, что в России молодая и крайне активно развивающаяся банковская система, которая никогда не забывала об информационной безопасности. Беспрецедентная массовая поддержка защиты платежей 3DS (3d secure) – или по-простому одноразовые коды в смс/уведомлениях для совершения платежей. Массовое внедрение система антифрода (противодействия мошенничеству) именно в банках, а не магазинах. Именно эти меры и позволили сделать так, что с европейскими и американскими картами было работать в десятки раз выгоднее. В Европе уровень защиты платежей значительно уступает, а США отстает на целое поколение. Злоумышленники ушли в эти регионы, за легкими целями.
Поэтому это исключительно наше достижение, а не следствие санкций или стечение обстоятельств.
Что еще повлияло на российский кардинг? Граждане РФ меньше хранят денег на картах, реже пользуются кредитками, чем граждане Европы и США, значит и украсть можно значительно меньше. Не выгодно. Значительная доля кардеров проживала и проживает на постсоветском пространстве, поэтому работать по «домашнему» региону для них гораздо опаснее.
А комментарий в посте Юлии Новиковой и ЛК абсолютно верный.
Да, но в причинах мы с Базой категорически не согласны! Российский кардинг практически мертв уже много лет, а говорить о том, что он в таком состоянии из-за того, что наши карты работают в основном только в РФ нельзя.
Мертв он потому, что в России молодая и крайне активно развивающаяся банковская система, которая никогда не забывала об информационной безопасности. Беспрецедентная массовая поддержка защиты платежей 3DS (3d secure) – или по-простому одноразовые коды в смс/уведомлениях для совершения платежей. Массовое внедрение система антифрода (противодействия мошенничеству) именно в банках, а не магазинах. Именно эти меры и позволили сделать так, что с европейскими и американскими картами было работать в десятки раз выгоднее. В Европе уровень защиты платежей значительно уступает, а США отстает на целое поколение. Злоумышленники ушли в эти регионы, за легкими целями.
Поэтому это исключительно наше достижение, а не следствие санкций или стечение обстоятельств.
Что еще повлияло на российский кардинг? Граждане РФ меньше хранят денег на картах, реже пользуются кредитками, чем граждане Европы и США, значит и украсть можно значительно меньше. Не выгодно. Значительная доля кардеров проживала и проживает на постсоветском пространстве, поэтому работать по «домашнему» региону для них гораздо опаснее.
А комментарий в посте Юлии Новиковой и ЛК абсолютно верный.
Telegram
Baza
Грустные новости для мошенников. В России практически уничтожен бизнес кардеров. Теперь почти нет смысла воровать данные российских карт, ведь вне России с них невозможно вывести деньги.
Кардинг — один из самых распространённых видов мошенничества с картами.…
Кардинг — один из самых распространённых видов мошенничества с картами.…
👍32🔥7
Подходит к концу 2022 год, а значит наступает время прогнозов
Наш прогноз мы озвучим в одном из следующих постов, но главное — количество кибератак будет только возрастать. Причем они будут разнообразными, зачастую масштабными и более продуманными. Причин масса — тут и негативный политический фон, и уход западных вендоров, переход на российское ПО, риски лояльности сотрудников и многое многое другое.
Самый яркий пример последнего времени - DDOS-атака на ВТБ и возможные (подтверждений пока нет) проблемы у Яндекса схожего характера. Причем интенсивность таких атак будет только возрастать, а их целями будут становиться не только банки, но и объекты ключевой инфраструктуры и буквально всё, что "торчит" в сеть — например, приложение "госуслуг".
С нефинансовым бизнесом ситуация, в общем, будет похожая. Причем если раньше ключевой составляющей была финансовая — злоумышленники хотели выкуп, крали/шифровали данные или что-то подобное — то сейчас всё чаще требований выкупа не следует. Фактически, главной задачей злоумышленников становится нанесение максимального ущерба бизнесу, и бомбить они будут "по площадям". Ничего хорошего в этом, конечно, нет.
Когда мы создавали "Третью сторону", нашей целью было создание надёжной площадки с доступными ценами, где можно было бы найти исполнителя под любые легальные задачи в сфере ИБ. Мы ориентируемся на малый и средний бизнес, и мы стараемся в том числе консультировать и рассказывать о том, как устроена кибербезопасность, какие угрозы являются ключевыми, а от чего можно пока отказаться, если денег всё равно нет. Как говорится, обращайтесь)
Наш прогноз мы озвучим в одном из следующих постов, но главное — количество кибератак будет только возрастать. Причем они будут разнообразными, зачастую масштабными и более продуманными. Причин масса — тут и негативный политический фон, и уход западных вендоров, переход на российское ПО, риски лояльности сотрудников и многое многое другое.
Самый яркий пример последнего времени - DDOS-атака на ВТБ и возможные (подтверждений пока нет) проблемы у Яндекса схожего характера. Причем интенсивность таких атак будет только возрастать, а их целями будут становиться не только банки, но и объекты ключевой инфраструктуры и буквально всё, что "торчит" в сеть — например, приложение "госуслуг".
С нефинансовым бизнесом ситуация, в общем, будет похожая. Причем если раньше ключевой составляющей была финансовая — злоумышленники хотели выкуп, крали/шифровали данные или что-то подобное — то сейчас всё чаще требований выкупа не следует. Фактически, главной задачей злоумышленников становится нанесение максимального ущерба бизнесу, и бомбить они будут "по площадям". Ничего хорошего в этом, конечно, нет.
Когда мы создавали "Третью сторону", нашей целью было создание надёжной площадки с доступными ценами, где можно было бы найти исполнителя под любые легальные задачи в сфере ИБ. Мы ориентируемся на малый и средний бизнес, и мы стараемся в том числе консультировать и рассказывать о том, как устроена кибербезопасность, какие угрозы являются ключевыми, а от чего можно пока отказаться, если денег всё равно нет. Как говорится, обращайтесь)
👍20🔥1😁1
С началом СВО санкционная политика в отношении России привела к коллапсу существующих поставок зарубежного аппаратного обеспечения. За этим последовал дефицит и попытки перейти на новые цепочки поставок, резко возрос спрос на российское оборудование.
AM Live: Аппаратное обеспечение для российского ИБ
📅14 декабря, СР, 11:00
В прямом эфире обсудим:
🔸Сможет ли рынок информационной безопасности адаптироваться к новой реальности?
🔸Получится ли избежать тотального дефицита оборудования?
🔸 Россия не производит современные микропроцессоры, чипы памяти, СХД и много чего еще. Есть ли шансы это исправить?
🔸Спрос и предложение на аппаратное обеспечение для ИБ
Принять участие
AM Live: Аппаратное обеспечение для российского ИБ
📅14 декабря, СР, 11:00
В прямом эфире обсудим:
🔸Сможет ли рынок информационной безопасности адаптироваться к новой реальности?
🔸Получится ли избежать тотального дефицита оборудования?
🔸 Россия не производит современные микропроцессоры, чипы памяти, СХД и много чего еще. Есть ли шансы это исправить?
🔸Спрос и предложение на аппаратное обеспечение для ИБ
Принять участие
👍1🔥1
Пароли не нужны (или пара слов о ключах и двухфакторке)
Пароли небезопасны и крайне неудобны, как и многое, придуманное на заре Интернета.
Их минусы очевидны:
- Возможно подобрать.
- Возможно слить.
- Возможно перехватить с помощью фишинга.
- Сложно запоминать, придумывать и безопасно хранить.
И в Интернете будущего паролям явно нет места. Сейчас их недостатки пытаются компенсировать различными вторыми факторами, от PUSH/SMS уведомлений до генераторов одноразовых кодов. Но все понимают, что SMS это не очень безопасно, PUSH уже лучше, но не всегда надежно, а генераторы кодов неудобны для пользователей. Будущее за более эргономичной и надежной технологией – WebAuthn.
Технология проста и позволяет веб-приложениям использовать криптографические электронные ключи. Их реализация может быть разной, от специального устройства – токена, вставляемого в порт, до специального хранилища вашего смартфона/ПК. В последнем случае разблокировка смартфона/ПК с помощью лица/пальца/кода даст доступ к хранилищу ключей.
Все, больше вам ничего не нужно для входа. Только ключ, который будет одноразово привязан к вашим сервисам. Этот ключ:
- Не подобрать.
- Не утечет, т.к. нигде не хранится, кроме вашего устройства.
- Не перехватить, т.к. он привязан к конкретному источнику.
- Нужно только надежно хранить.
Буквально на днях эту технологию, представленную в виде сервиса Passkeys, стал поддерживать по умолчанию Google Chrome.
Эра безопасности веб-приложений без паролей стала гораздо ближе!
Подробнее почитать про это можно тут.
Потестировать тут.
А почитать как внедряли подобное Mail.ru тут. Там же в конце есть ответы на самые популярные вопросы!
Пароли небезопасны и крайне неудобны, как и многое, придуманное на заре Интернета.
Их минусы очевидны:
- Возможно подобрать.
- Возможно слить.
- Возможно перехватить с помощью фишинга.
- Сложно запоминать, придумывать и безопасно хранить.
И в Интернете будущего паролям явно нет места. Сейчас их недостатки пытаются компенсировать различными вторыми факторами, от PUSH/SMS уведомлений до генераторов одноразовых кодов. Но все понимают, что SMS это не очень безопасно, PUSH уже лучше, но не всегда надежно, а генераторы кодов неудобны для пользователей. Будущее за более эргономичной и надежной технологией – WebAuthn.
Технология проста и позволяет веб-приложениям использовать криптографические электронные ключи. Их реализация может быть разной, от специального устройства – токена, вставляемого в порт, до специального хранилища вашего смартфона/ПК. В последнем случае разблокировка смартфона/ПК с помощью лица/пальца/кода даст доступ к хранилищу ключей.
Все, больше вам ничего не нужно для входа. Только ключ, который будет одноразово привязан к вашим сервисам. Этот ключ:
- Не подобрать.
- Не утечет, т.к. нигде не хранится, кроме вашего устройства.
- Не перехватить, т.к. он привязан к конкретному источнику.
- Нужно только надежно хранить.
Буквально на днях эту технологию, представленную в виде сервиса Passkeys, стал поддерживать по умолчанию Google Chrome.
Эра безопасности веб-приложений без паролей стала гораздо ближе!
Подробнее почитать про это можно тут.
Потестировать тут.
А почитать как внедряли подобное Mail.ru тут. Там же в конце есть ответы на самые популярные вопросы!
👍19👎3🤔3🔥2