Forwarded from Social Engineering
💬 true story... Social Engineering.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
🖖🏻 Приветствую тебя user_name.• Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика.
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Forwarded from SecAtor
Apache Software Foundation выпустили срочные исправления для серьёзных CVE-2021-44790 и CVE-2021-44224 во флагманском продукте Apache HTTP Server, в том числе связанным с удаленным выполнением кода и получить контроль над скомпрометированной системой.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
httpd.apache.org
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
https://logging.apache.org/log4j/2.x/security.html очередная уязвимость log4j. теперь 2.17.1 актуальная версия 🙂 cvss 6.6
https://lukatsky.ru/calendar теперь на 2022 год
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Календарь крупных мероприятий по ИБ на 2024 год
Я более 10 лет публиковал список крупных мероприятий по информационной безопасности, проводимых в России (критерии включения описаны здесь), но в этом году решил, что надо прекращать это делать в том варианте, как это было раньше. Хочу пересмотреть всю историю…
анализ обнаруженной завирусовонной прошивки HP servers provide a management module called iLO (a.k.a. Integrated Lights-Out), which turns on as soon as the power cable is connected, loading a full-blown proprietary operating system. This module has full access to all the firmware, hardware, software, and operating system installed on the server. In addition to managing the server hardware, it allows the admin to remotely turn the server on and off, gain access to the server’s console, and even install an operating system on it.
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
Поздравляем всех с наступающим 2022 годом!
Желаем прохождения всех аудитов и в жизни и по работе без значимых несоответствий!
Ассоциация ISACA начала активную модернизацию в 2021 не все прошло гладко, но уверены все шереховатости отшлифуются в 2022 году, и мы продолжим Вас информировать об интересных решениях используемых в ИБ в Мире и РФ!
С наступающим 2022!
Желаем прохождения всех аудитов и в жизни и по работе без значимых несоответствий!
Ассоциация ISACA начала активную модернизацию в 2021 не все прошло гладко, но уверены все шереховатости отшлифуются в 2022 году, и мы продолжим Вас информировать об интересных решениях используемых в ИБ в Мире и РФ!
С наступающим 2022!
Forwarded from Листок бюрократической защиты информации
📣 Обновление ГОСТов 34-й серии
Сегодня (01.01.2022) вводится в действие пара обновлённых ГОСТов 34-й серии:
— Базовый стандарт - ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».
— Основной стандарт при разработке технических заданий - ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
#гост
Сегодня (01.01.2022) вводится в действие пара обновлённых ГОСТов 34-й серии:
— Базовый стандарт - ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».
— Основной стандарт при разработке технических заданий - ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
#гост
Forwarded from Антивирусное ДНО
1 Января 2022 почтовые сервера с Microsoft Exchange on-premise перестали передавать почту из-за ошибки в антивирусном движке.
Антивирусный и антиспам движок FIP-FS, который включен в Exchange по умолчанию, имеет ошибку конвертации даты из-за того, что для типа переменной даты используется число со знаком (singed int32). Максимально возможное значение для данного типа 2147483647, что недостаточно для даты 1 Января 2022 года. Во внутреннем формате Exchange данная дата имеет значение 2201010001.
У серверов, подверженных данной проблеме, в логах фигурирует ошибка 1106 со следующим содержанием:
The FIP-FS Scan Process failed initialization. Error: 0x8004005. Error Details: Unspecified Error" or "Error Code: 0x80004005. Error Denoscription: Can't convert "2201010001" to long.
Для временного решения данной проблемы достаточно отключить встроенный антивирусный движок от Microsoft.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
Антивирусный и антиспам движок FIP-FS, который включен в Exchange по умолчанию, имеет ошибку конвертации даты из-за того, что для типа переменной даты используется число со знаком (singed int32). Максимально возможное значение для данного типа 2147483647, что недостаточно для даты 1 Января 2022 года. Во внутреннем формате Exchange данная дата имеет значение 2201010001.
У серверов, подверженных данной проблеме, в логах фигурирует ошибка 1106 со следующим содержанием:
The FIP-FS Scan Process failed initialization. Error: 0x8004005. Error Details: Unspecified Error" or "Error Code: 0x80004005. Error Denoscription: Can't convert "2201010001" to long.
Для временного решения данной проблемы достаточно отключить встроенный антивирусный движок от Microsoft.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
BleepingComputer
Microsoft Exchange year 2022 bug in FIP-FS breaks email delivery
Microsoft Exchange on-premise servers cannot deliver email starting on January 1st, 2022, due to a "Year 2022" bug in the FIP-FS anti-malware scanning engine.
👍1
Крайне актуальное направление ИБ для банковского сектора:
https://csrc.nist.gov/publications/detail/nistir/8389/draft
https://csrc.nist.gov/publications/detail/nistir/8389/draft
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8389 (Draft), Cybersecurity Considerations for Open Banking Technology and Emerging…
“Open banking” refers to a new financial ecosystem that is governed by specific security profiles, application interfaces, and guidelines with the objective of improving customer choices and experiences. Open banking ecosystems aim to provide more choices…
FTC обещает привлекать к ответственности тех кто своевременно не предпринял действий по устранению log4j.
https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remediate-log4j-security-vulnerability
https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remediate-log4j-security-vulnerability
Federal Trade Commission
FTC warns companies to remediate Log4j security vulnerability
Log4j is a ubiquitous piece of software used to record activities in a wide range of systems found in consumer-facing products and services.
Forwarded from Записки админа
💾 The State of Enterprise Linux in 2022. Что год грядущий нам готовит, или как теперь выглядит жизнь rhel-based ынтерпрайза после прихода CentOS Stream.
#redhat #напочитать #centos
#redhat #напочитать #centos