Как хакеры незаметно крадут данные, используя вредоносное шифрование

Атаки вредоносов все чаще сопровождаются кражей данных, но злоумышленникам приходится преодолевать серьезные препятствия, которые могут активировать систему оповещения и блокировать утечку.

Эрик Филиол, старший консультант по ИБ и разведке в OPS4SEC (Таллин, Эстония), рассказал на #PHDays11 о том, как злоумышленники могут похитить конфиденциальные данные, обойдя такие преграды.

Эти техники разработчики ВПО могут также использовать для усовершенствования работы программ-вымогателей.

Смотрите один из самых интересных докладов #PHDays11

Как прийти в мобильный инфобез в 2022 году

В среду, 6 июля, в 20:00 (МСК) в группе Android Guards пройдет стрим, на котором мы обсудим, как прийти в мобильный инфобез в 2022 году. Уклон беседы будет скорее в offensive security, но думаем, что разработчики тоже смогут узнать что-то интересное.

Обсудим:

▫️ с чего начать молодым специалистам, что изучать, а на что можно забить в начале пути;
▫️ как вкатиться уже матерым хакерам, которые точно знают в какое поле пихать кавычку, а в какое лучше не надо;
▫️ что делать разработчикам, у которых наступил «кризис веры» и есть желание попробовать свои силы во взломе мобилок.

Еще вы узнаете о рабочем процессе в целом и о том, какую пользу познания в мобильном инфобезе могут принести, если решите попробовать себя в другой области.

Стрим будет проходить в формате видеочата в группе Android Guards (если вы еще не там, то самое время присоединиться).

Шестьдесят шестой выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru 💥

Темы нового ролика:
— Ваша криптовалюта не такая уж и децентрализованная?
— Популярные Android-приложения для отслеживания детей несут угрозу безопасности
— В Израиле операторы ботов превратили госуслуги в дойную корову
— Apple остановила распространение шпионского ПО Hermit
— Нейросеть научилась играть в Minecraft
— Российские компании остались без лицензий на оборудование Cisco и IBM
— Воришка Енот возвращается в игру
— Сколько стоят ваши личные данные в дарквебе?
— HP: разрушительные атаки на встроенное ПО создают серьезную угрозу для бизнеса
— Правительство конкретизировало требования к профильным топ-менеджерам по ИБ
— ФСТЭК России раскрыла статистику и планы перехода российских ОС на отечественную ветку ядра Linux
_____________________________________
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing

Bug Bounty от Positive Technologies: некоторые вопросы и ответы. Интервью с СРО The Standoff 365 Ярославом Бабиным
https://habr.com/ru/post/675150/?utm_campaign=675150&utm_source=habrahabr&utm_medium=rss

Bug bounty: взгляд разработчиков, пользователей, хакеров 🪲

На PHDays 11 мы обсудили развитие российских платформ bug bounty, в том числе The Standoff 365: проблемы запуска, вознаграждения хакеров, бюджета на поиск и устранение уязвимостей, а также будущее этого рынка.

CPO The Standoff 365 Ярослав Бабин рассказал о переосмыслении подхода к bug bounty: «Мы предлагаем платить хакеру не просто за какие-то уязвимости, а за найденные пути реализации недопустимых для бизнеса событий».

Представитель Минцифры Владимир Бенгин подчеркнул, что ведомство открыто для сотрудничества с экспертами с целью устранить преграды для развития bug bounty-платформ в России, а директор блока экспертных сервисов BI.ZONE Евгений Волошин считает, что bug bounty в стране сегодня — это требование рынка и необходимость: «У больших платформ есть свои проблемы, своя история, а мы не отягощены каким-то наследием и можем сделать все классно с самого начала».

Полная запись дискуссии 👇

Утечка нефти

Что будет, если хакеры получат доступ к АСУ ТП нефтеперекачивающей станции? Например, они могут отключить систему сглаживания волн давления в трубопроводе и обесточить насосы. В результате произойдет разрыв одного из участков нефтепровода, и он остановится.

Что дальше? Дефицит сырой нефти приведет к скачку цен на топливо.

Но и это еще не все. Как насчет межотраслевых последствий? Из-за аварии нефть может попасть в реку, а водоочистные сооружения попросту не справятся с таким загрязнением. И тогда из кранов текла бы липкая жижа, а жителей ждали бы не просто бытовые неудобства, но и опасные болезни… Кстати, подобное случилось в апреле в городке Суворов под Тулой.

А у нас на The Standoff есть сценарий со схожими последствиями, и исследователи безопасности всегда могут попробовать его реализовать на наших мероприятиях

«Белый» хакер рассказал, как зарабатывает десятки тысяч долларов, находя уязвимости в соцсетях и платёжных системах

Глеб Скворцов ищет уязвимости на сайтах и приложениях известных компаний, а затем продаёт их им на bug bounty площадках. За пять лет «пентестер» нашел более сотни брешей в сервисах вроде Slack, GitLab и PornHub. В интервью «Газете.Ru» он рассказал, как стать хакером и за что платят багхантерам:

«В каждой программе bug bounty определён диапазон денежных вознаграждений за найденные уязвимости. Чем опаснее уязвимость и чем больше влияния на продукт, тем больше получит исследователь за обнаружение. Как правило, минимальная выплата — $50, максимальная может доходить до сотен тысяч. Сотни тысяч я не получал, но больше $3000 было точно. Если постараюсь, за месяц могу заработать больше $10 тыс., если поленюсь, может выйти и $100».

При этом хакер работает в одной из ведущих российских компаний в сфере ИБ, для приёма было достаточно его профиля на платформе поиска уязвимостей HackerOne.

@gazetaru

Как зарабатывать больше на поиске уязвимостей

Недавно мы запустили платформу The Standoff 365 Bug Bounty, объединяющую компании и исследователей безопасности для поиска уязвимостей и получения достоверной и независимой оценки защищенности бизнеса. 

Готовим для вас много приятных новостей. А пока представляем подборку из 40 ресурсов, которые помогут прокачать ваши навыки в offensive security, а также позволят оперативно узнавать о новых ресерчах, техниках и эксплойтах.

Ресурсы в этом списке рекомендовали шесть крутых багхантеров: Circuit, Ustinov, Zctym92, Fi5t, Impact и еще один исследователь, пожелавший остаться неизвестным. На их счету сотни обнаруженных уязвимостей в системах известных компаний, в том числе с присвоенными CVE. Они одними из первых присоединились к The Standoff 365 Bug Bounty.

💥 Если хотите найти баги, которые принесут вам солидное вознаграждение, признание и публичную благодарность известных компаний, то эта подборка вам точно пригодится. Enjoy!

👀 Смотреть на Хабре

⏳ Четыре дня до открытия онлайн-киберполигона!

50 счастливчиков тестировали полигон ещё в декабре и представляют, как всё работает. Теперь мы готовы открыть его для всех вас :)

Онлайн-киберполигон — это площадка, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак 24/7.

В декабре участники тестирования получили платформу с двумя сегментами: энергетическим холдингом Big Bro Group и IT-компанией Hello World Systems. Полигон работал по стандартным правилам The Standoff: хакеры искали уязвимости в системах, реализовывали недопустимые события и сдавали отчёты. Что изменилось?

#Changelog:
✔️ Добавили новый сегмент — банк, который проводит финансовые операции между предприятиями и гражданами, а также выполняет межбанковские переводы через интерфейс с центробанком.
✔️ Изменили принцип получения очков: вместо написания отчётов участники будут сдавать флаги. Когда вы достигли цели и реализовали недопустимое событие, вы заберёте с системы строчку определённого формата — флаг. Он доказывает, что вы успешно проникли в систему.
✔️ В веб-интерфейсе можно получить e-mail учётки для фишинга на полигоне и сделать откат машин в случае поломки.

Приходите в понедельник на платформу, чтобы раньше всех грабануть банк 😎

Экспертный центр кибербезопасности Positive Technologies и PT Career HUB запускают стажировку The Young Hats: Infosec A+

Для молодых специалистов это отличная возможность на практике познакомиться с защитой от комплексных атак на цифровую инфраструктуру.

👨‍🏫 Что вас ждет?

Стажировка состоит из двух частей. Сперва вы изучите базовые темы ИБ:

— введение в безопасность операционных систем;
— компьютерные атаки (классификации, жизненный цикл, база знаний MITRE ATT&CK);
— основные возможности MaxPatrol SIEM, PT NAD, PT Application Firewall;
— выявление и отражение атак на различных этапах.

На втором этапе, после экзамена, лучшие студенты получат возможность пройти оплачиваемую стажировку в подразделениях экспертного центра безопасности Positive Technologies.

⏰ Когда?

Старт 15 августа 2022 года
Заявки принимаются до 25 июля

💻 Формат

Занятия будут проходить онлайн, в дистанционном режиме. 20 часов в неделю, 4 месяца. Мало теории, много практики.

Подать заявку можно на сайте

Фарм мерча на PHDays 11

Чего только не сделаешь ради крутого мерча от Positive Technologies!
На PHDays любой желающий мог получить его. Нужно было только пройти квиз…

Хакер под ником eeenvik1 подделал бот, с помощью которого нужно было успешно пройти квиз, правильно ответив на 10 из 10 вопросов по шести темам, чтобы получить в награду наш мерч. Для создания копии бота исследователь прибег к тайпсквоттингу — виду атак социальной инженерии, нацеленному на тех, кто допускает опечатку при вводе веб-адреса в браузере и не использует поисковую систему.

О том, как он это сделал и что из этого вышло, читайте в статье на Хабре

P.S. Мерч по-прежнему доступен для заказа на positivemerch.com

🤘 The Standoff Talks снова в деле

Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.

🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com

С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.

Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.

Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥

Встречайте, онлайн-киберполигон The Standoff 365 — online.standoff365.com

Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦

Риски безопасности систем ИИ

В 2021 году тренд на использование технологий на базе искусственного интеллекта в киберпреступности стал реальностью. Шутки кончились! 😐 В Китае, например, хакеры нанесли ущерб на $76.2 млн, обманув с помощью дипфейка госсистему, которая принимает подтвержденные биометрией налоговые документы, а в ОАЭ мошенники вынудили сотрудника компании перевести деньги на их счета, подделав голос директора.

Чтобы помочь специалистам DS, ML и AI больше погрузиться в вопросы безопасности, а экспертам по ИБ — ближе познакомиться с ИИ, на PHDays 11 мы провели соревнование AI CTF, затрагивающее риски безопасности систем ИИ.
В течение 28 часов 44 конкурсанта сдали как минимум по одному флагу. Все задания были решены, но никто из участников не решил их все 🤷‍♀️

Подготовили подробный разбор конкурса на нашем Хабре

Более 200 исследователей безопасности зарегистрировались сегодня на The Standoff 365 🎉

На нашей платформе вы можете:

Прокачивать свои навыки на Киберполигоне, испытывая пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!

Получать деньги и славу за найденные уязвимости, участвуя в программах bug bounty.

Присоединиться

IDS Bypass на PHDays 11

На фоне цифровизации, массового перехода на удаленку и роста напряженности в мире сетевая безопасность приобретает решающее значение для бизнеса, тем более что и кибератаки становятся все коварнее.

Участники конкурса IDS Bypass на PHDays испытали на прочность системы сетевой защиты. В первом задании, например, им предложили проэксплуатировать нашумевшую уязвимость Log4Shell в популярной библиотеке log4j, а во втором — брешь в механизме авторизации SSO, которая позволяет подменить куки и войти в Zabbix без авторизации с учеткой администратора.

Количество решений было неограниченным, а шесть уязвимых сервисов подобраны так, чтобы участники сосредоточились на обходе системы IDS, которая пропускает трафик через себя и блокирует попытки сетевых атак.

Больше 100 конкурсантов состязались днем и ночью почти 30 часов, а борьба за призовые места шла буквально до последней минуты.

Читайте подробный разбор конкурса на Хабре

Hack me, если сможешь

Хотим напомнить, что у нас есть подкаст с лучшими выступлениями с Positive Hack Days и не только.

Третий выпуск нового сезона уже ждет своих слушателей!

Новое лицо OSINT. Версия 2022 года.
Андрей Масалович, генеральный директор «Инфорус» и разработчик технологии интернет-разведки Avalanche, раскрывает на реальных примерах 20 практических приемов разведки по открытым источникам (OSINT), в которых применяются новые возможности цифрового мира:

🔸 поиск по фото с использованием нейронных сетей;
🔸 сбор информации из даркнета;
🔸 обнаружение утечек в облачных хранилищах;
🔸 фиксация цифрового следа пользователя по данным его гаджетов.

Слушайте этот и другие выпуски на любой удобной для вас платформе.

Подписывайтесь, ставьте лайки и делитесь своим мнением об услышанном: https://phdays.mave.digital/ep-34

Шестьдесят девятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru

Темы нового ролика:

🔸 Парадокс нехватки специалистов в области кибербезопасности
🔸 Новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
🔸 Албания ушла в офлайн после кибератаки
🔸 iOS 15 взломали через год после релиза
🔸 Найден чит-код для мозга: просто играйте в видеоигры
🔸 Падение стоимости криптовалюты вызвало кризис в дарквебе
🔸 Группировка BlackCat требует у жертв все больше денег
🔸 Последнее крупное обновление Tor открыло новые возможности по обходу цензуры
🔸 GlobalData: Нефтегазовая отрасль уязвима для кибератак
🔸 Минцифры собирается легализовать белых хакеров
🔸 Опрос: импортозамещение ПО займет несколько месяцев

⚡️ P.S. Хотите целую коробку шоколадок Bounty? 🥥 Тогда обязательно досмотрите видео до конца