Cybersecgame


Channel's geo and language: Russia, Russian
Category: Darknet


Игра — это модель процесса. Или, если хотите, эксперимент.
Мы разрабатываем и продаём платформу для игровых тренингов по кибербезопасности.
https://cybersecgames.ru

Связанные каналы

Channel's geo and language
Russia, Russian
Category
Darknet
Statistics
Posts filter




Video is unavailable for watching
Show in Telegram
Не можем пройти мимо истории про три миллиона зубных щёток, якобы составлявших ботнет. "Якобы" - потому, что ссылаются все на одну довольно мутную статью за пэйволлом в которой нет подробностей ни про производителя щёток, ни про жертву и вообще всё выглядит кликбейтненько.

Так или иначе, в интернет уже сейчас торчат миллионы чайников, холодильников и собачьих ошейников, которые подключаются к каким-то сомнительной надёжности облакам производителя, благодаря чему злоумышленник обычно может миновать ваш роутер и оказаться прямо внутри квартиры и в лучшем случае DDOSить швейцарскую компанию, а в худшем - послеживать за вашим бытом и привычками, сами угадайте для чего.

UPD: говорят не было никаких миллионов зубных щёток. Авторы статьи пошли на попятную и говорят, что это была гипотетическая история. Ну как мы и предположили.


Если вы ещё не знакомы со сравнительно новой модой в области социнженерии среднего уровня технологичности, то знакомьтесь, вам обязательно пригодится, ибо за последние несколько месяцев мы видели это в университетах, госкорпорациях и крупных акционерных обществах. И нет никаких оснований полагать, что завтра это не случится с вами.

Сценарий таков: сотруднику организации демократичненько пишет в мессенджере аккаунт с именем и аватаркой главного начальника (в примере выше — ректора МИФИ), называет по имени-отчеству и сообщает, что сейчас с по телефону будет звонить куратор от спецслужб. После такого размягчения восприятия, сценарий стандартный: идите к банкомату, переведите куда-нибудь деньги.

Методы борьбы — тоже стандартные. Донесение до сотрудников, что о любом "звонке от куратора" сообщать будет непосредственный начальник, либо люди, специально для этого выделенные. И не в мессенджере, а более подходящими путями. А уж если руководитель имеет привычку писать рядовым сотрудникам, то аккаунт, с которого он это делает, должен быть проверяемым.


^^ в коллекцию фишинга, который из вашего монитора вылезает в реальный мир.


Forward from: Новости Москвы
🛴 В Москве на электросамокаты начали клеить фальшивые QR-коды, чтобы своровать данные карты

Будьте аккуратны. Лучше сканировать код самоката через камеру приложения, а не просто через камеру.


Один "современный облачный провайдер" столкнулся с обиженными сотрудниками. Вот что они сами пишут про это у себя в телеграме:

Ряд сотрудников, воспользовавшись своими полномочиями вывели из строя ряд локаций. Вредители уже выявлены, которые работали против нас, а наши старшие инженеры, вместе с вышестоящими сотрудниками и руководством хостинга, делают всё возможное, чтобы вернуть сеть недоступных локаций в рабочий режим. (орфография и стилистика оригинала сохранена)

Переводя с корявого корпоративного на русский: не работает почти ничего уже много часов. Оставляя в стороне вопросы разграничения доступов, правильного увольнения потенциальных инсайдеров и аккуратной работы с персоналом, наличия планов восстановления после сбоя, скажем, что злоумышленники нанесли ущерб не столько своему бывшему работодателю, сколько огромному количеству совершенно посторонних людей.

Понять это невозможно, но наверное, мы просто не умеем думать, как обиженный бегемот из анекдота.

Сидят два бегемота на берегу Нила,вяжут шапочки.К ним подходит крокодил и спрашивает:
— Бегемоты, вы не в курсе, здесь какое дно,каменистое или илистое?
Первый отвечает:
— Илистое.
Крокодил прыгает и разбивает себе голову о каменистое дно.
Второй спрашивает:
— Ты зачем ему сказал, что здесь дно илистое?
— А зачем ты мне вчера шапочку распустил?


Последние пару дней наблюдаем волну угонов телеграм-аккаунтов, причём некоторые случаи выглядят поначалу целевой атакой на организации.

Впрочем, потом с угнанных аккаунтов начинают выпрашивать деньги и рассылать политические лозунги.

Удивительно то, что эта волна, как и несколько прошлых, реализована при помощи простенького сайта, якобы предлагающего проголосовать за вашего знакомого в каком-то неизвестном конкурсе. Казалось бы, на предложение ввести куда попало код авторизации от Телеграма не должны вестись уже даже самые далёкие от технологии люди... А вот — работает.

Вся бесхитростность этой атаки на скриншоте. Просто вводите присланный вам код через десять секунд. Ещё про эти интересные конкурсы можно почитать, например, здесь.


Если вы увлекаетесь криптографией, наверняка вы читали исторический труд Дэвида Кана "The Codebreackers". Все, кто увлекается криптографией его читали. Вообще все.

(РГАНИ, ф. 5, оп. 60, д. 246)


Бонус-контент от наших читателей.

"Центральная аппаратная часть банка" — это, интересно, датацентр или электрощитовая с насосной?


Друзья, а расскажите, какие у вас были кулстори со "службой безопасности"? Разговариваете ли вы с ними? Мы — да, а как иначе наблюдать эволюцию?


Когда-нибудь будет открыт Музей телефонного мошенничества, и на экскурсии академичный кибер-экскурсовод будет рассказывать что-то в духе: "Смотрите, дети, мы покажем вам всю эволюцию кибер-мошенников. Это один из законов нашей жизни: как только появляется некая техническая возможность, тут же появляются мошенники, которые хотят на этом паразитировать.

Как только появилась"служба безопасности Сбербанка" и возможность общаться с ней с мобильного, фейковая "служба безопасности" стала названивать доверчивым гражданам. Этот бизнес стал настолько популярным, что постепенно дискредитировал себя и само выражение "служба безопасности сбербанка" стало мемом. Но мошенников это не смущает. Они постоянно эволюционируют! Так стали появляться звонки от других банков, а когда на мобильных телефонах появились фильтры спам-звонков, они перешли в мессенджеры.

Надо отметить, что есть некая градация. Самые непрофессиональные социнженеры "работают" в "сбере", рангом повыше - в "втб", иногда попадаются и "специалисты" из альфы. Ну, понимаете, дети, в те далекие времена еще случались колоссальные утечки данных клиентов, поэтому не пользоваться этим было совершенно невозможно...

К счастью, в нашем прекрасном настоящем все данные настолько хорошо защищены, а сотрудники из плоти и крови давно отправлены в отставку и отправились после очередной смены тел на переквалификацию, такие ситуации кажутся дикостью..."

#заметкиизбудущего


Редко про какой фишинг хочется сказать, что это гениально.


Наша демо-версия попала в некий каталог бесплатных курсов на хабре в раздел "тренажеры".

Во-первых, если вы её (демо-версию) ещё не видели, регистрация тут.

Во-вторых, напоминаем, что это только демо-версия того, что можно сделать для вашей организации, чтобы обучать персонал безопасному поведению.


Куда вы первым делом смотрите на скриншотах?

Отсюда.


Тем временем, бывший сотрудник ЦРУ Джошуа Шульте признан виновным в самой крупной (пока) утечке киберинструментов ЦРУ, известной, как Vault7.

Напомним, что в этой истории есть две плоскости — личностная и организационная.

Личностная — это ссора между самим Шульте и оппонентом, проходившим на суде, как Амол, с которым они обменялись оскорблениями, касающимися внешнего вида (Шульте — лысый, а оппонент — жирный), что, судя по заявлению прокурора и стало причиной затаённой обиды Шульте на организацию.

Организационная — это масштабные проблемы с защитой собственной информации, описанные в этом отчёте. Все сотрудники подразделения "специальных информационных операций" имели административные доступы ко всей внутренней инфраструктуре. Если кто-то потерял свой пароль, во внутреннем чате можно было найти пароль от root (на процессе выяснилось, что пароль от рута на виртуалке с Confluence, которую и скачал себе Шульте — 123ABCdef, а от контроллера домена сети DEVLan — mysweetsummer). Вменяемого логирования там тоже не было, как и мониторинга, поэтому об утечке там узнали спустя год из публикации на Wikileaks. Да и доказать причастность самого Шульте, хотя подозревали его с самого начала, удалось, насколько можно судить, довольно случайно.

Поясняя следователям ситуацию (отчёт), руководство подразделения заявило, что всегда стремилось к преобладанию "культуры творчества" над ограничительными мерами, даже минимально соответствующими статусу организации, где они все работали.

В финальном слове прокурора, если опустить словесную шелуху и характерный для американского правосудия пафос, можно найти довольно много интересных подробностей про "культуру творчества", например, как три администратора закрывали для Шульте доступы к серверам, но пропустили его ssh-ключ и т.п.

Так или иначе, "виновный" найден и будет примерно наказан, а допустившее "культуру творчества" руководство подразделения, судя по всему, дало исчерпывающие объяснения следствию и продолжит творить на тех же должностях.


Не заметили - или проявили вежливость? Вчера утром в нашем канале появилось необычное сообщение. Честно - необычное. И реакции не было (почти). Мы чот удивлены.

А времена между тем… более интересные, чем раньше.

И случится может разное. Например вот, начало марта, авторы канала обмениваются скриншотами: «Ты тоже это видишь? У меня в ленте 2/3 каналов взломаны! - У меня меньше, но тоже дофига!»

Идеальный взлом - все пользовались ботом, изначально имевшим доступ к постингу в каналы для того, чтобы помогать администраторам писать отложенные сообщения. Удобная же штука, а кто её сделал, знать необязательно. Как необязательно знать, кто делает Google Docs, Azure, AWS и т.п.

Ещё вчера - мы считали, что кто-то неизвестный, предоставляя нам услугу (часто - бесплатно), не имеет на нашу информацию корыстных видов. Корпорации добра, вот это всё.

Но времена, похоже, изменились и пора думать над тем, чтобы переносить в контролируемую зону всё больше сервисов. Дорого, неудобно, больно, зато никто другой не запостит в ваш канал гифку. Только вы сами — незаблокированным телефоном в кармане.

Кстати, вчера именно так и произошло.


Нечто странное на стыке кибернетической и физической безопасности произошло вчера во Франции.

В ночь на 27 апреля, какой-то диверсант (или группа диверсантов) применила популярный в среде тестировщиков физической безопасности инструмент (полагаем, что болторез) к магистральным оптоволоконным кабелям, соединяющим Париж с французским регионом Бургундия—Франш-Конте (в рассылке FRench Network Operators Group поначалу даже написали, что регион полностью отрезан).

Два пострадавших кабеля принадлежали оператору Netalis (их перерезали в 03:20 и 03:40) и ещё один — "иностранному оператору", его перерезали в 05:40.

Все три кабеля перерезаны в кроссовых колодцах (см. иллюстрацию), что наводит на мысли о человеке, хорошо знакомом с местами и технологией их прокладки, а так же с конструкцией запорных устройств, элементы которых просматриваются на фотографиях. Возможно это был сотрудник одного из операторов или, например, подрядчик обслуживающий эту оптику.

Ещё интересна география повреждений. Называют три населённых пункта: Souppes-sur-Loing, Le Coudray-Montceaux и Fresnes-en-Woëvre. И если между двумя первыми точками около 50 километров, то третья отстоит от каждого из них больше, чем на 250.

То есть, если всем этим занимался один человек, он должен был перемещаться, вскрывать и резать довольно быстро. А если действовала группа, то интересно, каковы же цели: особого ущерба диверсия не нанесла, связность была восстановлена сравнительно быстро, а полное устранение повреждений заняло 11 часов.

Весна? Политическая борьба?

Другие кадры повреждений есть тут.


Forward from: Пост Лукацкого
НКЦКИ сегодня опубликовала бюллетень об уязвимостях «нулевого дня» в оборудовании Cisco. Хотелось бы отметить, что:
👉 речь идет не обо всем оборудовании, а только о том, которое работает на базе операционных систем IOS и IOS XE и использует уязвимую подсистему работы с протоколом SNMP,
👉 для эксплуатации уязвимости необходимо обладать аутентификационной информацией для работы с SNMP,
👉 в бюллетене говорится об уязвимости "нулевого дня", в то время как Cisco опубликовала свой бюллетень об этой уязвимости еще в 2017-м году (в 2019-м году обновила в последний раз).

Патч для устранения этой уязвимости был выпущен Cisco пять лет назад, а остальные рекомендации по усилению защиты сетевого оборудования Cisco я давал ранее.


The content is hidden


Агентство по кибербезопасности, АНБ и ФБР выпустили очередной совместный фиговый боевой листок, посвящённый борьбе с русскими государственными хакерами. С точки зрения людей, следящих за этим бесконечным сериалом, листок настолько скучен, что даже колеги @true_secator, обычно делающие стойку на любой документ, содержащий TTP (тактики, техники и процедуры) начисто его проигнорировали.

Там действительно есть TTP и даже в нотации MITRE ATT&CK, но, как и в прошлые разы ничего такого, что позволило бы атрибутировать именно русских государственных хакеров и отличить их от китайских, корейских, американских же, или вообще, представителей... Эм... Частного бизнеса.

Если бы такое руководство выпустил Пентагон, там было бы написано примерно так: "русские военные используют танки, колёсную бронетехнику, реактивные самолёты. Тактики русских включают наступление и оборону и обхват с флангов".

Но. Если убрать из документа разбросанных в произвольном порядке "спонсируемых русским государством" хакеров, то получится добротное руководство начального уровня по обеспечению безопасности. Можно распечатывать и начинать с него строить ИБ компании.

Поэтому мы для вас перевели ту часть этого руководства, в которой имеются советы по существу. И настоятельно рекомендуем к исполнению.

20 last posts shown.