3side кибербезопасности


Гео и язык канала: Россия, Русский
Категория: Технологии


Рассказываем о российской кибербезопасности как она есть - просто, понятно и с примерами
Информационный канал компании Третья Сторона (3side.org)
Связь с администрацией - @TG_3side

Связанные каналы  |  Похожие каналы

Гео и язык канала
Россия, Русский
Категория
Технологии
Статистика
Фильтр публикаций


SEQuest — конкурс по социальной инженерии!

На фестивале кибербезопасности PHDays я организую первый конкурс по социальной инженерии — SEQuest (Social Engineering Quest). Он будет проходить только офлайн, в Лужниках, с 23 по 26 мая, во все дни фестиваля.

Конкурс, вдохновленный произведениями Кевина Митника. Впервые соревнование по soft skills, которыми пользуются мошенники при атаках методом социальной инженерии. Если вы хотите на время почувствовать себя киберпреступником и «поломать» людей, а также манипулировать организаторами фестиваля, то этот конкурс для вас! Никаких технических навыков не требуется, вход свободный.

Более подробную информацию о заданиях, правилах и наградах вы найдёте в официальном чате конкурса, ссылку на него опубликуем перед стартом.

Приходите, будет очень интересно!

UPD: На сайте еще правят структуру, потом поправим ссылку.


"Так безопасно?" №11: Отправляет ли Apple биометрические данные спецслужбам?

В современном рунете существует один популярный миф о конфиденциальности биометрических данных пользователей в знаменитых калифорнийских гаджетах. Связан он с постоянными заявлениями Apple о том, что биометрия пользователей надёжно защищена и даже сама компания не может получить к ней доступ. На что зачастую следует ирония в стиле «ха-ха, конечно же, Apple ничего не не хранит у себя и не отправляет спецслужбам, верим-верим».

Казалось бы, действительно, почему бы Apple не отправлять данные в облако, а по запросу и спецслужбам? Многие опасаются, что их данные утекут, а у специальных структур есть полный контроль над информацией в частном телефоне, в том числе и доступ к биометрии…

Но. Во-первых, даже если у спецслужб есть высланные им математические образы биометрии, то это никак не поможет разблокировать устройство, так как заключенный в условный txt-файл код не является изображением или ключем, это — набор символов и цифр. Расшифровать эти данные может только ключ, который находится внутри устройства.

Во-вторых, заявления компании Apple о том, что защищенные данные никогда не покидают устройство, коррелируют с многократными неудачными попытками взлома, в том числе со стороны ФБР и АНБ. Тратя сотни тысяч долларов, прибегая к помощи хакеров, они смогли взломать лишь один айфон.

Как? С помощью бага, который позволил перебирать всевозможные варианты код-пароля и в конечном итоге прийти к искомому результату. Для выявления этого бага понадобились не только большие деньги, но и команда израильских спецов с распайкой материнской платы самого телефона. После обнаружения бага, Apple, понятное дело, его оперативно исправила. Окно закрылось.

Кроме того, если бы биометрия/ключи хранились на облачных серверах, айфоны бы вскрывались через раз, так как получить доступ к облаку явно проще, чем к защищенной памяти телефона.

В-третьих, думаю никто не будет спорить, что айфон — это один из самых популярных телефонов на сегодняшний день. А значит его всесторонне изучают и анализируют далеко не первый год. Патчи безопасности анализируются «под микроскопом», изучаются уязвимости и баги. Тем не менее за всё это время так и не удалось обнаружить факт утечки данных биометрии куда бы то ни было. Потому что если бы это действительно случилось, то для Купертино всё обернулось бы огромным скандалом с миллионными, если не миллиардными убытками из-за тех же судебных исков. А главное — потерей репутации.

Все эти факты позволяют нам говорить, что Apple действительно не отправляет биометрию в облако. А издержки, которые могла бы понести Apple из-за обнаружения самого факта отправки биометрии, имели бы огромные последствия для компании.

#3side_так_безопасно


Российского основателя LockBit оценили в 0,2 Бен-Ладена

Европол, британская NCA и американцы обвиняют основателя рансом-группы LockBit из Воронежа ... ну, в том, что он занимался рансомом, организовал всю группу, создал вредоносное ПО и панель управления им, и даже участвовал в выбивании выкупов. Суммарно он заработал на вымогательстве около $100 млн и вообще вел себя очень плохо. Кстати, за информацию, которая приведет к его аресту, обещают $10 млн — это довольно круто. За Бен-Ладена в свое время обещали сначала 25, а потом 50 млн. С поправкой на инфляцию разница вообще будет совсем небольшой, это к слову о восприятии угрозы в США. Чисто для понимания масштаба, группировка получила на выкупах пол-ярда долларов.

Но самое интересное во всей этой истории не в розысках, наградах и прочем. Дело в том, что OFAC (Управление по контролю за иностранными активами Минфина США) наложил на него (и группировку) ряд санкций. Тут можно посмеяться, но для западных компаний выплаты за расшифровку теперь могут встать боком — придется выбирать между потерей данных и возможными проблемами с регулятором.

А так — очевидно, что мартовская операция Cronos, в ходе которой была выведена из строя часть инфраструктуры группировки, все же повлияла на ее деятельность. Вот только пока все это выглядит как "покос травы" — под удар попадают наиболее крупные и организованные команды. Сам же объем рынка ransom растет и будет расти.


Популяризация ИБ — это тоже важно

18 мая на фестивале Solar Systo Togathering под Питером Антон расскажет про социальную инженерию (подробности в приложенном посте). Обычно мы катаемся на более классические ИБ конференции — там и нетворк, и заказчики, и много чего еще. Здесь история другая — более просто, понятно и массово. И так тоже делать надо, круто и полезно.


Как выглядит глобальная кибервойна

Группа исследователей опубликовала работу по глобальной географии активности киберпреступности (картинка отсюда). Безотносительно точности расчета конкретных значений индекса угрозы, выглядит очень правдоподобно.

Собственно цифры на картинке выше — это очень условное отражение активности киберкриминала (и приравниваемых к нему) в разрезе отдельных стран. Два очевидных лидера с огромным отрывом — главные участники текущего конфликта, Россия и Украина. На 3 и 4 местах — США и Китай, тоже все очевидно.

С Нигерией ситуация сложнее, не из-за писем же их на 5 место поставили)) Но репутация у страны тоже специфическая. Что любопытно, Северная Корея только на 7 месте.

Иранцы и израильтяне на 11-16 местах, но дело скорее в том, что и у тех, и у других атаки очень точечные, а Pegasus и прочий подобный софт в рейтинге явно не учитывался.


"Так безопасно?" №10: Как войти в кибербезопасность? Часть 1.

Молодые специалисты из смежных областей, студенты и даже школьники часто задают мне вопрос о том, как войти в сферу кибербезопасности.

Я бы хотел прояснить свою позицию по этому вопросу, но прежде всего стоит учесть несколько моментов:
1. Это моё личное мнение, основанное на моём опыте входа в кибербезопасность.
2. С момента моего входа в эту сферу прошло уже 10 лет.
3. Я всё ещё слежу за карьерой молодых специалистов, но уже извне.
4. На моё мнение влияют мои собственные взгляды на собеседуемых сотрудников!

Поэтому я ни в коем случае не претендую на истину, но если вам интересно моё мнение, то я расскажу.

Как войти в кибербезопасность?

Есть несколько вариантов:

1. С нуля через профильное высшее образование и собственную легальную практику. Это хороший вариант для планирования карьеры, так как легальная практика — это чаще всего CTF-соревнования и известные площадки с заданиями.

Бонусы:
- Диплом, который иногда имеет значение.
- Как правило, неплохая теоретическая база.
- Хорошие контакты через преподавателей, практику и соревнования.
- С последних курсов можно уже устроиться работать в эту сферу, но обычно за еду.

Минусы:
- Без самообразования практики нет.
- ВУЗ может подвести и с теорией.
- Долго, не подходит для людей старше 20 лет.

В целом, это был мой вариант! Можно ли поменять вышку на IT-шную? Да, но придётся ещё больше самообразовываться.

2. Из смежной области. Идеальные области — это системное администрирование, разработка и тестирование. Уже работая в этой сфере, можно с помощью самообразования пытаться брать задачи и из сферы кибербезопасности, или ставить их себе самому.

Особенно хорошо, если в компании уже есть кто-то, кто занимается безопасностью. Тогда можно договориться, что будете ему помогать за знания и практику. Это похоже на понятие Security Champion — энтузиаст безопасности в другом подразделении.

В дальнейшем, используя полученный опыт, можно перейти уже на более низкую должность, но в отдел безопасности этой или другой компании.

Плюсы:
- Заработок в процессе не проседает.
- Дополнительные глубокие знания из IT бывают крайне полезны в кибербезопасности.
- Постепенная смена деятельности позволяет понять, а нужно ли вообще туда?

Минусы:
- Придется менять сферу с сильным понижением зарплаты.
- На первых этапах самомотивация и самообучение критически важны.
- Высокий шанс оказаться меж двух огней вечного конфликта IT и безопасности.
- Руководство может не идти на встречу и вставлять палки в колёса.

Не рекомендую входить в кибербезопасность исключительно на образовательных курсах, какими бы шикарными они ни были. Добавить их к вышеперечисленным вариантам — прекрасно, они закроют часть вашего самообучения и самомотивации, но это не основа. Основа — энтузиазм и горящие глаза, даже на собеседовании это сильный бонус.

Во второй части я расскажу о направлениях в безопасности, ограничениях, которые на вас накладывает эта сфера, и небольших нюансах.

#3side_так_безопасно




Репост из: Кибердом & Бизнес
Хочу посмотреть кибершоу на фиджитал-полигоне и познакомиться с Кибердомом. Как я могу это сделать?

Приходите на «Один день с Кибердомом» 25 апреля в 16.00. В этот раз поговорим о киберугрозах, новой парадигме защиты, сбывшихся прогнозах в ИБ-2023 и многом другом. Ивент будет полезен сотрудникам технологических компаний, бизнесу, ИБ-специалистам и руководителям ИБ.

🖇 Вместе с экспертами гости Кибердома обсудят следующие темы:

🔝 Новые киберугрозы и новые вызовы. Как бежать быстрее
киберпреступников, чтобы оставаться на своем месте. Про это расскажет консультант по кибербезопасности F.A.C.C.T. Сергей Золотухин.

🔝 Что из себя представляет социальная инженерия-2024. Порассуждаем вместе с СЕО компании «Третья сторона» Антоном Бочкарёвым.

Модератором дискуссии выступит руководитель направления ИБ Simple Group Лев Шушпанов.

💫 Насыщенный день в Кибердоме начнётся с экскурсии по уникальным пространствам кибербез-хаба, а в конце гости смогут отдохнуть в кибербаре или лаунж-зоне Кибердома, завести новые полезные знакомства и обменяться впечатлениями с другими участниками.

❗️ Интересно? Тогда регистрируйтесь по ссылке и приходите 25 апреля в 16:00 в Кибердом по адресу: ул. 2-я Звенигородская, д.12 стр.18.

#анонсы

🏠 Подписаться на Кибердом & Бизнес


Погружение в технику. О безопасности Face ID.

В 2017 году настала эпоха безрамочных смартфонов — вышел Samsung Galaxy S8, а затем iPhone X. В смартфоне от Apple было принято решение отказаться от Touch ID в пользу новой для компании технологии распознавания лица, которая требовала несколько различных датчиков и отдельного нейронного процессора.

Из чего состоит Face ID? В отличие от Touch ID, где применяется всего лишь один сканер и датчик прикосновения, в системе распознавания лица от Apple для сканирования применяется проектор, излучатель и специальная камера.

Когда вы хотите разблокировать телефон, устройство проецирует на вас тридцать тысяч точек, которые необходимы для создания объёмного изображения лица. Затем, излучатель направляет на вас инфракрасный свет. И в конце вас фотографирует инфракрасная камера, получая объемное 3D-изображение.

Как? Камера может получать информацию об удаленности каждого пикселя на фотографии, что позволяет анализировать глубину изображения. Это делается за счёт фиксации времени отражения луча, проецирующего пиксель. Считываем время отражения тысяч пикселей и, пожалуйста — ваше 3D-изображение создано.

За обработку изображения и за работу всей системы Face ID отвечает отдельный сопроцессор Neural Engine. В него же интегрирован защищённый нейронный модуль, который переводит 3D-изображение в математический образ и далее шифрует его для отправки в защищенное хранилище через Secure Enclave. Анклав проводит сверку с заданным шаблоном и принимает решение о прохождении идентификации.

Взломать Face ID

По заверениям Apple, шанс разблокировки вашего устройства другим человеком составляет 1:1 000 000. Такая надежность обеспечивается за счёт совместной работы сразу трёх датчиков, создающих объемное изображение. Это исключает обход системы с помощью распечатанной картинки. Вы можете предположить, что можно обойти Face ID с помощью создания маски человека, но на этот случай было предусмотрено создание не одной инфракрасной фотографии, а нескольких. Это позволяет распознать малейшие изменения в мимике лица, чтобы понять, что перед сканером живой человек.

И тем не менее изъян есть. Он касается очков. Смотрите, Face ID требует, чтобы во время аутентификации ваши глаза были открыты. Но когда на вас надеты очки он не может также качественно отслеживать это из-за преломления света. Поэтому сканер переходит на другой алгоритм — если в районе глаз есть белая точка на чёрном фоне (зрачок), то глаза признаются открытыми.

Этим и воспользовались ребята из компании Tencent и создали очки с небольшими черными вставками с белыми точками посередине. Для прохождения аутентификации было достаточно надеть на спящего человека эти очки и поднести смартфон к лицу. Или же создать 3D-маску жертвы и надеть на неё очки.

Несмотря на это, Face ID совершенствуется год от года: алгоритмы улучшаются, железо совершенствуется. В общем-то, Apple удалось создать хорошую и надежную систему биометрической аутентификации. Она стабильно работает и компания не думаёт от неё отказываться.

Источник материала — статья на хабре, в канал предложена самим автором.


Press.pdf
591.5Кб
Итоги территории Безопасности 2024

Что же происходило на одновременно четырех конференции по безопасности на одной площадке?

Меня поразили стенды, их было не просто много, а случилась настоящая выставка!
В кулуарах количество знакомых и друзей зашкаливало, атмосфера была очень располагающая на общение. В целом все, ради чего хожу я на конференции меня порадовало. Однозначно буду там снова, возможно в следующем году предложу свой доклад!

Прикладываю несколько фото с мероприятия, и подробный пресс релиз для заинтересовавшихся)




Взлом Telegram Desktop все таки был

Наконец появились подробности, для не технарей упрощенно:

- Уязвимость работала не с картинками, а с файлами которые приложение ошибочно за них принимало.
- Код выполнялся не через Телеграм, а через интерпретатор Python для Windows и он должен был быть установлен!
- Требовалась не только предзагрузка, но и клик по файлу.
- У Телеграмма есть белый список расширений, где и случилась опечатка, что в целом считается плохой практикой.

Как противодействовать?
- С осторожностью относитесь к любым присланным файлам.
- Обновите Telegram Desktop, ошибка была исправлена.

Суть патча на скриншоте, технические подробности в статье на Хабре!)


Мошеннические схемы и скрипты

Написал небольшую разъясняющую статью на Хабр о разнице между мошеннической схемой и скриптом. Навеяно постоянным спамом постов СМИ о "новых схемах", который не только не помогает доносить эту тему до населения, а скорее достигает обратного эффекта.

P.S. Поставьте, пожалуйста, плюсик на Хабре, там это важно для продвижения статьи.


Вредные советы и привычки

Привычки пользователей играют важную роль в кибербезопасности. Хотя им часто не уделяют должного внимания, именно они могут стать решающим фактором, который заставит пользователя задуматься о том, является ли происходящее нормальным. Однако, эти привычки могут быть использованы и злоумышленниками.

Например, до удаления из магазинов приложений множества российских банков, не было вредной привычки устанавливать эти приложения через "обходные пути". Мы привыкли, что официальные приложения от официального разработчика называются только так, а все остальное устанавливать нельзя! И установка чего-либо из неофициальных магазинов считается плохой и опасной идеей. А что теперь? Банки сами предлагают устанавливать их приложения из ненадежных источников и, более того, для IOS предлагают скачивать приложения с неизвестным разработчиком и "сомнительным" названием. Причем это нужно сделать максимально быстро, пока его не удалили.

Пользователи привыкают к тому, что это нормально, и когда в следующий раз им придет письмо/сообщение со ссылкой на новое приложение банка, они побегут устанавливать его, не глядя, что сообщение пришло не оттуда. В голове ничего не "щелкнет". К сожалению, банки вынуждены прививать пользователям очень вредные привычки.

Именно на это сделали ставку злоумышленники. В AppStore обнаружили несколько вредоносных имитаторов приложений банков ВТБ и Тинькофф с накрученными оценками и отзывами.

Как привычки могут помочь? Например, если внедрить сервис SSO (Single Sign-on), который позволяет заходить во все сервисы компании через единую точку входа и по единой учетной записи. Как только пользователи привыкнут, что вводить свои данные можно только там, а любые иные формы входа и по иным адресам будут вызывать у них недоверие и сомнение, "а точно ли я там, где нужно?", работу по информированию станет проще проводить. Инструкция простая - не вводить свои данные в иных местах и проверять URL.

Старайтесь формировать полезные привычки.


Подтверждений не появилось, обновлений безопасности Telegram Desktop тоже. С крайне высокой долей вероятности, все таки монтаж.


Взлом Telegram Desktop за 1 клик?

Ряд Телеграм каналов распространили видео, с уязвимостью на выполнением кода через загрузку файла в Telegram Desktop на Windows. Для демонстрации традиционно запускается калькулятор, однако запустить можно любой код.

Никаких подробностей пока неизвестно, само видео - не совсем пруф, особенно без подробностей и с неизвестным бекграундом исследователя. Поэтому доказательств пока нет, но мы рекомендуем на всякий случай отключить предзагрузку файлов в приложении Windows и избирательно подходить к их загрузке!

Особенно внимательными стоит быть администраторам ТГ-каналов.

Отключить предзагрузку на ПК так:
Настройки => Продвинутые настройки => В личных чатах; В группах; В каналах; убрать все галочки.


P.S. Судя по всему мобильное приложение не подвержено.


Репост из: KazDevOps
☄️ Участвуйте в конкурсе и выиграйте бесплатное обучение на курсе Kubernetes База от Слёрм

Разыгрываем 3 места на курс! Сможете пройти сами, подарить коллеге и даже младшему брату 😉

🔸 Узнаете основы, разберетесь с компонентами и абстракциями
🔸 Получите опыт настройки кластеров
🔸 Научитесь организовывать правильную разработку и деплой
🔸 Сможете запускать приложения в кластерах

Старт курса — 15 апреля

🚩 Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и оставьте комментарий "+" под этим постом. Комментарий обязательно оставлять в официальном аккаунте KazDevOps

🥳 12 апреля подведем итоги и выберем 3 победителей методом генерации случайных чисел. Каждый получит доступ к курсу.

Go-go-go, и успехов!

#kubernetes

@DevOpsKaz


У наших друзей конкурс!)


Один день в Кибердоме — с Антоном Бочкаревым

Всем привет. 25 апреля у наших чудесных друзей из Кибердома будет ознакомительное мероприятие. Это не совсем "день открыты х дверей", но это точно прекрасный способ познакомиться с пространством и послушать хороших людей из индустрии ИБ.

С 4 часов дня там будет открытая дискуссия с участием Антона, ну и Артем (это, если что, второй фаундер 3side) там тоже будет. Так что если вы хотите познакомиться, давно не виделись или просто хотите интересно провести время — приходите.

Место: Кибердом
Время: 25 апреля с 16 до 19 часов

Ссылка на регистрацию (вход свободный)


Бэкдор в XZ Utils

Вчера был обнаружен бекдор (CVE-2024-3094) в утилите XZ в библиотеке liblzma предустановленной во многих Linux - системах.

Все у кого стоит уязвимая версия - скомпрометированы, такой массовой и успешной атаки на цепочку поставок не было очень давно!

Кратко:
- Вредоносные версии 5.6.0 и 5.6.1.
- Если они у вас установлена, срочно переустанавливайте прошлую стабильную версию и считайте что вы уже взломаны.
- Меняйте пароли, проверяйте cron, смотрите логи, ищите следы злоумышленников.

Подробный FAQ от компания Tenable прикладываю в виде скриншотов, т.к. по ссылке его посмотреть с российских IP не получится.

Новая версия не всегда самая безопасная. Опенсорс не гарантия отсутствия бекдоров, такова реальность.

Показано 20 последних публикаций.