Бывший инженер по кибербезопасности Amazon признал себя виновным во взломе двух криптобирж и краже нескольких миллионов долларов. Июльская история подходит к концу.
Читать полностью…Тут в одном чатике по безопасности АСУ ТП зашла очередная дискуссия про безопасность и ее место в бизнесе. И, если отбросить долгую прелюдию, то традиционная позиция ИБшников звучит обычно так: "Мы находимся в стороне от бизнеса и к нам неприменимы общие правила и подходы". Я же сторонник прямо противоположной идеи, что ИБ - эта такая же бизнес-функция, как и любая другая, как бухгалтерия, финансы, ИТ, продажи, производство и т.п. И подходить к ней надо с точки зрения вклада ИБ в создание внутреннего продукта компании; да и внешнего тоже.
Читать полностью…Ждем еще один постер от SANS. На этот раз про шифровальщиков. Но пока не выпустили - ждут очередного саммита, где раздадут бумажную версию, а потом уже и в электронке выложат
Читать полностью…CISA напоминает о роли работника КИИ в обеспечении ИБ и дает набор соответствующих рекомендаций по персональной безопасности, которая может повлиять на функционирование КИИ 👍
Читать полностью…Моряк ВМС США с исконно американским именем Вэньхэнь Чжао 👲 сел в тюрьму на 27 месяцев за передачу конфиденциальной информации… кому бы вы думали… Китаю 🇨🇳
Вообще американцам не позавидуешь. Государство создавалось толерантным ко всем приезжим со всей их придурью культурой, привычками, языками, религией и т.п. А теперь они пожинают плоды - греховный для католиков ЛГБТ, поддержка BLM при поклонении первому президенту, Джорджу Вашингтону, который был рабовладельцем, нелегальная иммиграция латинос, недовольство нехристианских сотрудников Госдепа против поддержки Израиля при том, что Израиль - земля обетованная для протестантов, коих в США большинство, квоты на пока еще меньшинства в штате компаний, шпионаж со стороны китайцев... 🙌 Но пока технологии еще ничего. Хотя история с дверью у Боинга, конечно, доставляет...
ЗЫ Но почему в приговоре еще и 5500 долларов штрафа помимо двух лет тюрьмы😡
Продолжаем IoT-треш. Шифровальщик заражает гаечные ключи 🔧, подключенные к Интернет. Я думаю вы видели прообразы таких ключей в шиномонтаже, когда вам меняют колеса 🚗 и с помощью гидравлического гаечного ключа затягивают гайки. Так вот сейчас они делаются с участием ИТ и подключаются к Интернет, давая кучу возможностей для хакеров 🛠
Читать полностью…Не в состоянии начать что-то новое в новом году? Ходить в спортзал, сдать на OSCP, прочитать весь блог Лукацкого, вывести компанию на багбаунти, собрать команду для участия в Standoff на стороне Blue/Red Team? 🥺
Начните тогда с малого - с нового пароля! 💡 Ведь путь длиной в тысячу ли начинается с одного шага! 👣 Так говорят китайцы 🐉, а люди строившие одну стену 🧱 17 веков в этом вопросе все-таки знают толк!
Достаточно странно было ожидать от европейцев другого. Тихой сапой под соусом толерантности и защиты детей от террористов Европа убивает приватность, прикрываясь благими намерениями, которые ведут известно куда 👿 Это далеко не первый пример и не последний 😭
ЗЫ. К слову, в Швейцарии зарегистрирован ProtonMail выводы делайте сами 🫡
Неплохой обзор использования Github в киберпреступных целях - хостинг C2, распространение вредоносов, хранилище утечек, Dead Drop Resolver с примерами и рекомендациями по обнаружению
Читать полностью…Конечно, не стоит думать, что MFA - это панацея. Существуют техники обхода многофакторной аутентификации, которые даже используются в реальных инцидентах и достаточно успешно. Поэтому на корпоративном уровне всегда необходимо не просто ограничиваться общей рекомендацией "используйте MFA", но и более внимательно отнестись к тому, какой вариант MFA использовать, какой должна быть архитектура, как ее могут обойти и что будет, если центральный сервер/сервис MFA выйдет из строя (было лично у меня пару кейсов, когда облачный сервис MFA переставал на время работать).
ЗЫ. Картинки идентичны, только одна в Dark Theme
После сегодняшнего разрешения Комиссией по ценным бумагам листинга Bitcoin ETF💸, о котором сообщалось на взломанной странице SEC в Твиттере вчера, очевидный вопрос - а был ли взлом или кто-то раньше времени слил инсайд и кто-то наварился на этом? Комиссии по ценным бумагам впору провести расследование против… Комиссии по ценным бумагам 😂
Читать полностью…👋 Я уже не раз высказывал мысль, что вендор по ИБ, если он реально занимается ИБ, а не просто зарабатыванием денег 🤑 (что тоже неплохо, но явно недостаточно), должен демонстрировать свою реальную безопасность и безопасность своих продуктов 🛡 Ровно по этой причине в свое время появилась оценка соответствия в форме сертификации программного обеспечения или аудита/сертификации процессов и организаций. Именно поэтому появились требования к таким оценкам - ISO 15408, ISO 27001, PCI DSS, SOC2, РД ФСТЭК, ГОСТ 57580.1 и много чего еще.
Но потом, как это часто бывает, все превратилось в тыкву 😄. Вспоминая не раз уже мной упомянутый в канале закон Гудхарта, соответствие требованием превратилось в самоцель. И даже если ты изначально с благими намерениями шел в эту историю, то потом все это вновь вернулось в "к собранию акционеров/инвесторов надо получить сертификат соответствия". Кстати, ровно та же история с сертификациями специалистов типа CISSP. Сначала ты всерьез готовишься, учишь, сдаешь экзамены. А потом начинаешь побираться по конференциям и вебинарам, задавая сакраментальный вопрос "А сколько CPE дадут за присутствие?" И вот уже вместо демонстрации навыков и умений в самоцель превращается поддержание сертификата.
И что мне нравится в Позитиве 🟥, так это "творческий непокой", как говорилось в "Покровских воротах" ☝️. Постоянно ломаются какие-то незыблемые вещи и все переворачивается с ног на голову. Иногда это даже дает мощный толчок развития. И вот, несмотря на наличие сертификатов соответствия ФСТЭК, мы анонсировали выход на Bug Bounty (на Standoff 365) двух продуктов - Network Attack Discovery (NAD) и Sandbox. За найденные криты платим до 1 миллиона рублей 🤑
Так что если вам хочется поломать не только саму компанию (за год с лишним с момента объявления Bug Bounty на реализацию недопустимых событий так никому пока и не удалось), но и ее продукты, 🛡 то милости просим к нашему шалашу ⛺ И пусть щепки летят 🪓
Mandiant завершила расследование инцидента с взломом их учетки в Твиттер. Краткий вывод: у них не была включена MFA 😲
Если чуть подробнее, то Mandiant пишет, что у них был переходный период и из-за неразберихи между командами, отвечающими за соцсети и изменения политики Твиттера в области MFA, они и прошляпили 🤠 А сам пароль к учетке забрутфорсили. А сделали это криптоскамеры и дальше большое расследование этой кампании CLICKSINK 💸
Все по классике:
Вообще у нас все круто, но переходный период и все Твиттер виноват. Но данные клиентов не пострадали, а мы сделали выводы
Хотя, чего тут еще скажешь? Была бы утечка, можно было бы сослаться на то, что утечки никакой не было, это все компиляция и происки врагов, как красные банки демонстрировали в последнее время. А тут всё как бы налицо - всё видно, не отмажешься. Приходится смиренно признавать свой косяк и уводить внимание ‼️ в сторону расследования тех, кто стоял за взломом; что не отменяет невыполнения базовой меры ИБ.
ЗЫ. Пойду-ка проверю все свои аккаунты на предмет включенной MFA, а то мало ли, у меня тоже переходный период и бла-бла-бла 🤡
Если бы ФСТЭК по своим методическим документам делала постеры, то по методике оценки защищенности ПО, у нее бы получилось что-нибудь аналогичное. Но так как ФСТЭК такого не делает, то делюсь свежим постером от SANS ⏳
Читать полностью…Маркетинговый гигант подтверждает, что они слушают 🦻🏻 телефоны, телевизоры и другие "умные" устройства для таргетирования своей рекламы. А вы говорите, фейк и неправда... 👎 Так что практика сдачи смартфонов или помещения их в экранированный ящик 🎁 при обсуждении конфиденциальных переговоров вполне себе обоснована
Читать полностью…Так во время реального инцидента выглядит CISO, прошедший киберучения по поводу утечки персональных данных своих клиентов ☺️
ЗЫ. Ну или ему просто наплевать 🤠 Но судя по результатам опроса, это может обойтись дорого для компании.
Существует немало энтузиастов, публикующих на каком-нибудь Гитхабе свои утилиты и инструменты 🏋️♀️, улучшающие жизнь ИБшника. Только вот 99% ИБшников не способны их использовать, так как большинство этих инструментов требуют нехилой квалификации, которой в массе своей у ИБшников нет 🤏 Кстати, ровно по этой причине на рынке полно говёных с точки зрения результата ИБ-продуктов, но имеющих хоть какой-то GUI, сертификат соответствия и хоть какие-то признаки корпоративности (техподдержку, бухгалтерию, облизывание и т.п.) 😈
Читать полностью…Выступая на радио или телевидении, постоянно слышу один и тот же вопрос, как можно побороть социальный инжиниринг. И постоянно отвечаю - никак 👀
Никакие технические меры неспособны решить эту проблему - только непрерывное повышение осведомленности граждан по различным каналам. А это очень непростая и, самое главное, не проектная работа, за которую нельзя отчитаться и получить медаль 🏅на грудь. Да и то, на 💯 все равно не решить.
Водителя со скриншота 7️⃣ раз развели по одному и тому же сценарию. Семь раз! Ну что тут можно еще сказать? Задорнов был прав 😎 Чувак сам ловился на одну и ту же приманку 🎣
Эх, жаль, основы госполитики в области формирования культуры ИБ свернули. Там правильные мысли Совбез формулировал 💡
На загнивающем Западе для семей военных делают специальные памятки о том, что можно, а что нельзя говорить о членах семьи, несущих службу или воющих в той или иной части земного шара 🫡 У нас я таких особо не видел (хотя, если честно, и не искал особо), но сама по себе идея интересная и полезная. Вместо плакатов "Болтун - находка для шпиона" можно простым и понятным языком рассказывать, почему не надо рассказывать в соцсетях и малознакомым людям номера в/ч своих родных, места дислокации, номера их телефонов, позывные и т.п.
В этом гораздо больше пользы и смысла, чем угрозы кар небесных за раскрытие этой информации, которыми так любят сыпать военкомы и другие причастные к военному ведомству товарищи!
Россия - особенная страна. Мы празднуем два Рождества, католическое 🔥 и православное 🕯, и два Новых года - новый новый 👋 и старый новый 🤭 (китайский 🐉 в расчет не берем) 😊 Объяснить это сложно, но зачем?! Просто празднуем! 😂 С наступившим Старым Новым годом!!! 🔴
ЗЫ. 2024-й по старославянскому календарю - год лося 🥶
Неожиданное признание - Россия не стоит за кибератаками на датскую критическую инфраструктуру, в которых нас обвиняли в конце прошлого года
Читать полностью…В 2016 году швейцарцы голосовали за новый закон о разведке (Nachrichtendienstgesetz). Изменения касались права секретных служб на слежку за гражданами страны в интернете: если раньше для такой слежки требовался судебный ордер, то по новому закону агенты получали возможность следить за кем угодно и когда им вздумается — просто по своей прихоти, без всякого ордера.
Вменяемые люди предупреждали, что в предлагаемом виде закон делал возможной массовую слежку за всей страной и, по сути, отменял право на неприкосновенность частной жизни. Но правительство страны и руководство разведки клятвенно заверяли по всем каналам, что они будут следить только за преступниками, а законопослушным гражданам нечего опасаться. Если же не разрешить сетевую слежку за преступниками, это затруднит их выявление и поимку, а значит, безопасность добропорядочных граждан окажется под угрозой. Вы готовы пожертвовать своей безопасностью во имя иллюзорных свобод? — интересовалось начальство.
Как мы могли неоднократно убедиться, слово «безопасность» имеет свойство тормозить или вовсе отключать мышление. Так что 65.5% участников референдума проголосовали за изменение закона.
И вот — вы не поверите.
Как выяснило издание Republik, сразу же после принятия нового закона спецслужбы стали мониторить почту, чаты и поисковые запросы всех пользователей интернета в Швейцарии, без разбора. При этом все эти данные сохраняются для последующего анализа, и можно только гадать, кто будет проводить этот анализ. Это именно та самая массовая слежка, о которой нас предупреждали, причём даже в более экстремальной форме, чем предполагалось.
В других местах ситуация ничем не отличается. В большей части западных стран эта слежка была реализована и того раньше, без всяких референдумов. Швейцарский референдум показал, что гражданам либо безразлична неприкосновенность своей частной жизни, либо они верят правительству на слово. Я даже не знаю, что хуже.
И можно быть уверенным, что после того, как были опубликованы эти материалы, ровным счётом ничего не изменится.
В продолжение темы обхода MFA. Например, сегодня Malwarebytes описали как достаточно «легко» обойти MFA у Google, просто украв с помощью инфостилера аутентификационный токен 🖥и даже смена пароля ничем не поможет ⚠️
Помню, я удивлялся, почему у меня длительное время оставался доступ к некоторым облачным сервисам Cisco уже после увольнения. А все просто - токен продолжал действовать 💯
Регулярно проверяйте список устройств, подключенных к вашему аккаунту. Тот же совет применим и к другим используемым вами сервисам, например, Telegram или WhatsApp 🛡
Есть такой классный фильм "Пока не сыграл в ящик" (The Bucket List) с Джеком Николсоном и Морганом Фрименом, в котором два неизлечимо больных раком героя хотят выполнить все свои несбыточные желания, которые они записали в список перед смертью ⚰️ А так получилось, что на английском я сейчас как раз тему Bucket List обсуждал с преподавателем. Да и новый год начался - все планы на год составляют. И я подумал, когда, как не сейчас, поднять эту тему в блоге и попробовать составить список возможных ИБшных мечт... 👉
Читать полностью…Информация ограниченного доступа ❌ у нас в законодательстве есть. Ограниченного распространения 🚫 есть. Теперь вот и ограниченного использования 😲 хотят ввести в оборот… При этом в последнем случае речь вообще не про ДСП или что-то схожее, а про всякие экстремистские материалы и иже с ними 🤦♂️
Читать полностью…На портал "Резбез" выложили мою статью про факторы, влияющие на стоимость инцидента 💰 Не все из них применимы к любому инциденту, но многое. И да, это все часто оценка пост-фактум. Но все-таки... Лучше иметь представление о том, во что с финансовой точки зрения может обойтись инцидент 🤑
Формат материала не позволял указывать там ссылки на реальные кейсы, но они есть и их немало. Думаю, запилить вебинар по этой теме с рассмотрением уже конкретных примеров и финансовых оценок инцидентов; там где они опубликованы, конечно.
После вибратора с подключением к Интернет, я думал меня сложно удивить, но LG смогла. Зачем стиральной машине Wi-Fi и Интернет? 🙈
Зато теперь фраза «слив данных» заиграла новыми красками 😎 Почти 4 Гига в сутки… И все это только для того, чтобы просигналить, что стирка закончилась?.. Или стиралка и вправду сливает данные с телефона, к которому она имеет доступ (приложение LG ThinQ, прилагаемое к стиралке, требует доступ к камере, микрофону, локации, фото, файлам на устройстве 🖕)? А может стиралку уже в ботнет большой включили и она DDoSит какое-нибудь НАТО?
ЗЗЫ. А еще в стиралку 🧺 встроен TLS, что как бы намекает, что она является СКЗИ со всеми вытекающими правилами ввоза и т.п.
Немного цифр вам в ленту по поводу CVE:
🔤 В 2023-м году было зарегистрировано 2️⃣8️⃣9️⃣0️⃣2️⃣ CVE против 25081 в 2022-м году! Получается около 80 CVE в день!
🔤 Средний CVSS был равен 7,12 (хотя кто вообще считает средний CVSS?).
🔤 36 уязвимостей имело CVSS, равный 1️⃣0️⃣!
🔤 Количество CNA, выросло с 56 до 84. Среди новичков Moxa, Xerox, Lexmark, ARM, AMI и другие "железячники".
🔤 Основные контрибьюторы CVE по числу зарегистрированных уязвимостей - Microsoft, VulDB, GitHub и две компании по безопасности WordPress - WPScan и PatchStack.
🔤 Основной число дыр, 4100 CVE, связано с XSS. На втором месте - SQL Injection - 2000 CVE.
🔤 WPScan и PatchStack WPScan и PatchStack на двоих зарегистрировали 6700 CVE.
🔤 46% компаний устраняют 10-15 уязвимостей в день. 22% - 5-9, 21% - 16-20!