Кстати, сегодня был уже четвертый случай — "сотрудники службы безопасности" убедили свою жертву сначала перевести им полтора миллиона рублей (разумеется, спасая их от мошенников), а потом, чтобы уж наверняка добраться до самих мошенников, убедил его собрать "коктейль Молотова" и поджечь офис Сбербанка.

Такие дела. Как говорится, не ведитесь, в любой непонятной ситуации — перезванивайте.

Паранойю можно понять, да и многим людям в сфере ИБ она свойственна. Только есть ряд важных моментов.

Во-первых, подтвержденных фактов нет. Вообще нет. И даже технически не вполне понятно, как такое можно сделать. Слова следователя — это, конечно, хорошо, но они вызывают вопросы.

Во-вторых, есть такая штука, как боты, и они не то, чтобы безопасны. И вот как только пользователь заходит в бота, становится известен его ID, по которому можно искать и посты, и комментарии (если они индексируются). Вообще, история для соцсети нормальная.

И нет, зная номер телефона — нельзя, если человек выставил у себя в настройках видимость только для контактов. То есть поиск по телефону не работает, если сам пользователь этого не разрешил.

Если уж начинать играть в паранойю всерьез, то мы бы задавались куда более интересным и важным вопросом — а какая модель телефона использовалась в описанных случаях и точно ли она безопасна? С любым компьютером аналогичный вопрос, кстати говоря. И на наш взгляд, устройство в этой ситуации само по себе может иметь на порядок больше уязвимостей ...

"Так безопасно?" №6: Отпечаток пальца - хороший второй фактор для двухфакторной аутентификации?

Ответ — как всегда, "смотря кому". Обычно, тут работает принцип "ковбоя Джо" — для обычных людей она подходит, а для политиков или топ-менеджеров идея выглядит очень так себе. Современный мир — это не боевик про Джеймса Бонда, и тут не нужно "вырубать" жертву снотворным, чтобы снять его отпечатки. Или того хуже, приносить палец с собой.

Достаточно хорошей фотографии. С появлением TouchID на IPhone интерес к этой теме значительно вырос, и первые исследования показали, что если жертва брала руками прозрачный бокал в баре, то на нем скорее всего останутся отпечатки и их можно без труда снять. Для этого достаточно сфотографировать отпечаток на бокале в хорошем разрешении, сделать монохромным, инвертировать, распечатать на ацетатной пленке на обычном лазерном принтере, для придания эффекта 3D, ну а обычный клей сделает его рельефным.

В 2020 году Cisco Talos опубликовала отчёт с описанием метода восстановления отпечатков с большинства зеркальных поверхностей, по их исследованиям точность такого восстановления около 80%!

Но можно и без подобных сложностей, уже неоднократно исследователи выступали с докладами о том, как они смогли восстановить отпечаток пальца по фотографиям сделанных журналистами. Например, Ян Крисслер член крупнейшего хакерского сообщества Европы Chaos Computer Club (CCC) смог восстановить отпечаток пальца тогдашнего министра обороны Германии Урсулы фон дер Ляйен по фотографии с пресс-конференции.

А в 2021 году наркоторговец выложил в уже взломанную силовыми структурами сеть EncroChat фотографию с сыром в руках, где были видны его отпечатки пальцев. Что и позволило идентифицировать владельца криминального аккаунта. Результат - 13 лет тюрьмы.

Поэтому мы рекомендуем не использовать отпечатки пальцев как основной фактор во всех случаях. А также рекомендуем не использовать отпечатки в качестве второго фактора в случае, если интерес к персоне повышен. Ну, или смириться с тем, что вы обычный человек и Моссад, ЦРУ и МИ-6 вы не интересны.

#3side_так_безопасно

Новые номера телефонов 3side

Друзья, предыдущий опрос был не просто так. Мы тут подумали, и решили немного поменять телефонные номера, раз уж появилась возможность сделать это просто и достаточно недорого.

В общем, теперь наши новые номера выглядят так:

8 800 222 1337
8 931 622 1337

Старый номер некоторое время тоже будет доступен.
Если кому-то интересно, что это такое — 1337 это отсылка к Leet, популярному в начале 90ых среди IT и ИБ специалистов языку. Мы рады, что для достаточно большого числа наших подписчиков эти цифры что-то значат.

К нашему огромному удивлению, несколько клиентов действительно начинали общение с нами по телефону. Уже потом была телега и все остальное, но начиналось все — со звонка.

И еще один поджог по звонку телефона, пишет База. В этот раз отдел полиции!

Мы писали уже об этом неоднократно, ликбез в посте выше.

Звонки будут повторяться до тех пор, пока они результативны.

"Так безопасно?" №7: Альтернативные клиенты VK безопасны?

Ответ – по нашему мнению нет, пользоваться ими крайне не рекомендуем.
Вопрос этот становится все более популярен из-за введения самим VK спорных нововведений по ленте рекомендаций/дизайну/функциям. Но достаточно безопасной альтернативы нет и вот почему.

Как работают альтернативные клиенты? На вашем токене. Это не логин и пароль от социальной сети, а специальный «ключ» позволяющий от вашего имени делать определенные действия в соцсети. Обычно он выпускается с ограничениями, но для полноценной работы альтернативного клиента ему нужен токен без ограничений, своего рода «генеральная доверенность» на ваш аккаунт. Вы доверяете компаниям/командам, о которых не знаете ничего.

Они занимаются безопасностью? Альтернативные клиенты разрабатывают относительно небольшие компании/команды, которым гораздо сложнее выделять ресурсы на функционирование процессов по безопасности. У самого ВК процессы построены, довольно большие и авторитетные команды, включая тех кто обрабатывает запросы по BugBounty. А что у альтернативных клиентов? Никто не знает, они просят лишь поверить, что у них все хорошо и о безопасности они вообще думают.

Как они хранят ваши токены и все данные, которые через них проходят? В 2019 году был скандал, один из альтернативных клиентов VK стал сохранять аудиосообщения своих пользователей у них же в открытом разделе «Документы», по которому можно проводить поиск. Достаточно было провести поиск по названию «audiocomment.3g», чтоб прослушать все сообщения пользователей этого альтернативного клиента. Сам VK оперативно закрыл, хоть и не свою брешь, запретив искать по этому названию. А как альтернативные клиенты хранят и ЧТО они хранят внутри себя? Неизвестно, доступ есть ко всему. Нужно лишь довериться и тут.

На чем строится доверие к ним в целом? Лишь на том, что пользуются ими многие, но они ничего не заметили. Это, мягко говоря, не аргумент.

Резюме. Мы крайне не рекомендуем пользоваться альтернативными клиентами. Альтернативные клиенты могут быть гораздо более легкой целью для атак политических хактивистов, мошенников и киберкринала. В том числе и злонамеренные действия владельцев альтернативных клиентов исключать нельзя.

#3side_так_безопасно

Самозанятый или ИП VS ООО — кого выбрать?

Дисклеймер: данный пост описывает ситуацию с видами работ, не требующими получения исполнителем лицензии. Найм самозанятого в рамках российского законодательства для некоторых задач невозможен.

Мы тут столкнулись с интересной ситуацией — мы искали человека под задачу, связанную с "бумажной безопасностью". И у нас появились варианты: или предложить заказчику работу с самозанятым (качественно, но дешевле, гибче и ощутимо оперативнее) или подобрать юрлицо (тоже качественно, но дороже, дольше и больше формальностей). Решение осталось на стороне заказчика, но мы хотели бы сказать пару слов.

Мы привыкли к тому, что работа с ООО (или любым другим подобным контрагентом) дает больше гарантий и некоторую "стабильность" в плане результатов. Проблема в том, что на рынке услуг ИБ ситуация несколько иная — при работе с ООО качество этих работ может быть весьма ... случайным, скажем так. И совершенно не связанным с запрошенной ценой. Нет, мы ни коим образом не говорим вам "не работайте с ООО, они отдадут заказ на субподряд и вас обманут", это не так, и мы знаем на рынке множество очень достойных и проверенных организаций, с некоторыми из которых мы активно сотрудничаем. Вопросов нет. Более того, для лицензируемых работ привлечение контрагента-юрлица это вообще единственный простой выход.

Мы строим 3side для того, чтобы изменить эту ситуацию на рынке. Мы не делаем принципиальной разницы между исполнителями-физлицами и исполнителями-юрлицами. Мы одинаково проверяем их. Мы во всех случаях знаем, кто будет делать работу. Если у нас есть сомнения — мы найдем вам другого человека или другую команду, которая решит ваши проблемы.

В общем, выбирать на проект самозанятого или юрлицо — личное дело каждого. Мы не делим исполнителей на самозанятых, ИП, ООО, и как-то еще. Для нас есть один критерий, и он очень простой. Исполнитель достаточно профессионален, чтобы сделать свою работу. А вот уж с кем комфортнее по деньгам, срокам, условиям и налогам — это выбор заказчика.

Как мы подбираем исполнителей

Небольшой пост о том, как наша Площадка ищет людей, которые решают проблемы.

Вне зависимости от того, как мы узнали об исполнителе (он пришел к нам сам, его порекомендовали или мы давно его знаем), для того, чтобы мы предложили заказчику его услуги, есть один главный критерий и несколько критериев второстепенных. Главный критерий — на наш взгляд, он должен быть профессионалом в той области, в которой будет делаться проект.

Мы проверяем 2 главных аспекта — профессионализм и репутацию. То есть у человека должен должен быть опыт успешных проектов, и по рынку по нему не должно быть сомнительных историй. Проверяется это достаточно легко, и такие возможности у нас есть — мир ИБ вообще очень маленький и тесный. А дальше — это вопрос бюджета, сроков и пожеланий заказчика.

Наше главное отличие от рынка — в том, что работая с нами, заказчик может выбрать конкретного исполнителя из списка с конкретными условиями. Возможны ситуации, что мы можем найти только одного исполнителя (как правило, при ограниченных бюджетах\сроках (такой случай у нас был), но как правило, варианты есть. В общем, мы стараемся быть максимально гибкие во всем, кроме одного. Мы не работаем с людьми, в которых мы не уверены.

Иногда о проблемах стоит не только писать, но и рассказывать лично!

Подписчики из Санкт-Петербурга, приходите 2 марта в IT-бар Failover Bar, Антон будет рассказывать о том, как работают колл-центры «служб безопасности» и их методики развода. При желании, можно и про 3side поговорить.

Адрес: В.О. 7-я линия 42, доклад в 20:00

Вообще, термину "медовая ловушка" не один десяток лет. В свое время ею пользовались по-моему все спецслужбы мира, от КГБ и Штази до Моссада, так что в этой истории нет вообще ничего удивительного.

Если не углубляться в исторические подробности, то и сейчас этот подход тоже прекрасно работает. Причем цели воздействия могут быть совершенно разными - тут и компромат, и шантаж, и просто влияние на человека, и доступ к конфиденциальной информации жертвы. Совсем редко - угроза личной безопасности.

Когда-то давно один хороший человек сказал нам, что в большей безопасности себя могут чувствовать взрослые мужчины, не состоящие в браке и не имеющие сексуальных девиаций, вступающие в связь с совершеннолетним партнером противоположного пола. Реальность сложнее - их просто чуть сложнее шантажировать.

Так что если вы считаете, что красивая женщина (или красивый мужчина) проявляет к вам интерес потому, что вы успешны, харизматичны и обаятельны ... наверное, все так и есть.


Просто будьте осторожнее.

Дорогие дамы!

С праздником!

Так исторически сложилось, что профессии часто делились на "мужские" и "женские". Цифровая эпоха, ковид и удаленка постепенно меняют сложившуюся ситуацию там, где ее можно менять. И многие профессии уже перестают быть мужскими или женскими.

С каждым годом в ИБ все больше девушек, и это здорово, и мы этому рады. Хотя на наш взгляд, самое правильное деление в профессии — не на мужчин и женщин, молодых и возрастных или москвичей и людей из регионов. Главное — деление на профессионалов и всех остальных.

Так вот. Дорогие девушки. Мы рады, что среди вас есть много чудесных профи, с которыми очень приятно работать. С праздником!

P.S. были рады зарегистрировать дам - настоящих профи кибербеза у нас на площадке!

А еще теперь нас зовут читать лекции!)

Для авторского курса CTO (технических директоров) Дмитрия Симонова (https://l.dsimonov.consulting/yRVIKe) мы начали читать лекции про баланс ИБ и IT в компании. Назвали просто — "построение баланса IT и ИБ и пять стадий принятия кибербезопасности". Тема важная — мы часто видели, как в компании, особенно молодой, обе функции перетягивают одеяло на себя. IT часто видит в ИБ не помощника, а конкурента, и это огромная проблема. Эффективная защита инфраструктуры строится только на поисках баланса и взаимном уважении.

С каждой проблемой можно работать. Где-то считают, что ИБ-функция вообще не нужна и угрозы никогда не реализуются. Где-то IT обвиняет ИБ в лоббировании и уже реализовавшихся проблемах. Где-то спорят за бюджеты и закрывают реальные проблемы кучей бумаг. И каждая ситуация требует своего решения.

К слову, напоминаем, что средний ущерб от ransome - атак составляет порядка 100К долларов для среднего бизнеса и от миллиона — для энтерпрайза. И это явно больше, чем ИБ-бюджет. ИБ (как и любое управление рисками) требует разумного баланса между расходами и потенциальным ущербом ... и мы рассказываем, как его достичь.

Ценность утечек падает — кажется, уже утекло слишком много.

Тут Роскомнадзор приводит "волшебную" статистику — в 2022 году произошло около 150 крупных утечек персональных данных. По другим данным — больше 300 баз и больше миллиарда строчек данных. Получается и смешно, и грустно — каждая дополнительная утечка уже имеет меньшую ценность, так как в значительной степени содержит уже слитую информацию. Как говорится утекло так много, что утекать больше нечему. Ну, или почти нечему.

По некоторым данным, на Россию пришлось около трети (!) всех сливов баз ПД. Но самое прекрасное во всей этой истории — это реакция регулятора и правоохранительных органов. Сам РКН пишет, что по результатам рассмотрения материалов суды назначили штрафы на общую сумму около ... 1 млн рублей. Мы очень надеемся, что речь идет о каких-то судебных штрафах для злоумышленников, иначе выглядит совсем грустно.

О чем это говорит? О том, что на сегодня ответственности за утечки данных в России практически нет. Понятно, что актуализированная информация будет представлять ценность, как и финансовая информация, но в остальном все плохо. Созданный РКН Центр правовой помощи гражданам в цифровой среде в текущей ситуации является бесполезным паллиативом — величину штрафа определяет совсем не РКН, а действующее законодательство.

До тех пор, пока в России не будет системной борьбы с утечками, персональными данными россиян будут торговать у каждого забора. Такие дела.

Утечки закончились, утекать больше нечему — дальше атаки на инфраструктуру.

Как мы уже писали раньше, эффект (и медийный, и финансовый) от каждой следующей утечки данных в России будет падать. Не до нуля, так как данные все равно устаревают, но со скандалами середины прошлого года это не сравнится. Когда куча крупных компаний уже протекла, удивить чем-то новым тяжело.

Мы предполагаем, что в ближайшие пару месяцев злоумышленники перейдут от похищения клиентских данных к атакам непосредственно на инфраструктуру компаний. Тут можно вспомнить кейс rutube как эталонный пример такого рода атаки.

Первые неприятные звоночки уже были — протек Уралхим, причем в сети оказались не только базы данных сотрудников (с логинами и паролями, ага), но и некоторая внутренняя информация. И есть очень большой вопрос, как долго злоумышленники были в системе и каких результатов они могли добиться.

Мы убеждены, что теперь главной целью атак станет не кража данных, а нарушение работы инфраструктуры. А это может быть куда страшнее.

Дорогие подписчики!

У нас уже набралась стабильная, хоть и небольшая относительно многих каналов аудитория. Нам вы особенно важны, поэтому мы просим вас поучаствовать в этом опросе:

Мы стараемся писать о вещах, которые мы сами считаем достаточно важными. Мы не новостной паблик. Какое количество действительно важных постов в неделю вам было бы комфортно читать, чтобы избежать эффекта "спама"?

О проектных рисках, или притча о безопасности полетов

В нашей работе регулярно встают вопросы о том, что любая деятельность в ИБ, даже совершенно белая и легальная, несет определенные риски для компании — клиента. Мы подумали, и вот что имеем сказать.

Во-первых, мы предупреждаем обо всех рисках. В том числе тех, которые имеют мизерные шансы реализоваться — тут как с падением метеорита. Случиться может, результат фатальный, но вероятность крайне мала. Мы делаем это просто потому, что считаем такой подход наиболее правильным и честным по отношению к клиенту.

Причем, коллеги, есть риски, защищаться от которых дороже, чем просто их принять. Можно, например, развернуть дополнительный тестовый контур, но если стоимость мероприятия значительно превышает стоимость работ по ИБ и сопоставима с величиной возможного ущерба — оно точно нужно? И так далее.

Во-вторых, мы в любом случае подбираем опытных исполнителей. Это не новички. Мы проверяем их работу. Мы четко понимаем, что это те люди, которые понимают, что они делают. Но тут ситуация как с врачебной ошибкой — можно минимизировать, но нельзя свести к нулю, и ошибаются даже лучшие. И у интеграторов, и у крупных ИБ компаний ситуация та же самая, мы просто считаем правильным говорить о ней с самого начала. При этом подчеркиваем, что вероятность реализации риска — минимальная.

ИБ - это про управление рисками. Риск-менеджмент — это не про сведение угроз к нулю, это про оптимальный результат. Наша задача — найти оптимальное соотношение между безопасностью, удобством и ценой. Финальное решение в любом случае за вами, но мы стараемся помочь вам правильно все оценить.

Напоследок расскажем одну притчу. Вызывают однажды главкома ВВС ПВО СССР в Политбюро и говорят: "Что-то у вас самолеты часто падают". "Товарищи, с завтрашнего проблема будет решена, ни одной аварии не будет!" — отвечает командующий, заслуженный ветеран. "А что вы планируете сделать?" — с сомнением спрашивают его? "Да я с завтрашнего дня запрещу все полеты" — ответил маршал.

Так вот, вы можете просто запретить полеты. Но, кажется, это не совсем то, что нужно.

Если у вас остаются вопросы — направляйте, мы постараемся максимально оперативно на них ответить.

Нулевой день для российских хакеров
(CVE-2023-23397)

Тут пишут, что украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) нашла и зарепортила в Microsoft некую новую уязвимость Outlook, причем судя по скорости исправления и реакции, речь идет об уже эксплуатирующийся 0-day, уязвимости нулевого дня. Сами американцы пишут, что некая группа из России использовала ее для атаки нескольких европейских и украинских организаций — судя по описанию, это похоже на правду. В атаках обвиняют APT28 (ака Fancy Bear и куча других названий), известная группа, которую часто называют связанной с ГРУ.

Уязвимость получившая идентификатор CVE-2023-23397 использует Microsoft Outlook для получения учетных данных пользователя. Работает это примерно так — есть учетная запись, из-под которой работает Outlook. Приходит в Outlook письмо, отправленное злоумышленниками, и когда почтовый клиент письмо обрабатывает, чтобы показать уведомление — в этот момент уязвимость инициирует подключение к серверу злоумышленников по протоколу SMB (445/TCP). Таким образом на сервер злоумышленников прилетает хэш учетных данных. Это не логин-пароль в открытом виде, но если у атакующих есть 0-day, то ферма для перебора паролей по хэшу уж точно найдется.

Что беспрецедентно - жертве не нужно предпринимать никаких действий, открывать письмо, ходить по ссылке, и так далее. Единственная защита до вчерашнего патча была в том, что из внутренней сети иногда закрывают исходящие подключения к "внутренним" портам, к тому же 445/TCP. А вообще, если это и правда сделали из России можно сказать только одно — 0-day это всегда про высокий уровень и говорит об очень серьезной квалификации.

#3side_безполитики

Новость дня - в США арестован админ Breachforums, крупнейшего форума-агрегатора утечек

Вчера примерно в 4:30 вечера по Москве ФБР арестовало Брайана Конора Фицпатрика aka pompompurin (пруф) по обвинению в компьютерных преступлениях. Его считают владельцем и админом одной из крупнейших площадок, связанных со сбором утекших данных.

Что известно на текущий момент:
- Breachforums - крупнейший форум по утечкам на данный момент в мире, туда выкладывали вообще все
- Парень 2002 года рождения
- Давал анонимное интервью одному из самых известных журналистов по кибербезу Брайану Кребсу
- Будут скорее всего аресты иных участников (ну, до кого дотянутся, лол) и попытки деанона пользователей
- ФБР, как всегда, на высоте - ждем докладов на хакерских конфах о том, как его сдеанонили.
- Вели его ГОД, то есть это огромная системная работа

Утечки и продажа данных, конечно, на этом не закончатся. Но "сигнал рынку" получился весьма характерный и мы думаем, что это далеко не последний арест.

Пара слов про возможный запрет айфонов для чиновников

Тут в СМИ появились предположения, что в АП хотят запретить использовать айфоны своим сотрудникам. Идея интересная, но ее смысл, на наш взгляд, довольно сомнительный. И об этом мы уже писали.

Проблема — в отсутствии альтернативы. Нет, не вопрос, можно хоть всех чиновников пересадить на андроиды с любой ОС, просто будет ли это безопаснее? Не факт, скорее наоборот, это будет в разы уязвимее. Потому что самый действительно безопасный вариант — это как раз iPhone с отключенным бэкапированием в ICloud. Тогда Apple все еще сможет его заблокировать, стереть данные или что-то удалить. Но получить данные с телефона — нет. Извините, у них и с разблокировкой то есть вопросы.

Android — это зачастую миллионы малварей, гораздо более серьезные дыры, которыми может пользоваться любая достаточно квалифицированная APT. Если же Apple будет по указке спецслужб США внедрять дополнительные механизмы для слежки, раскатывать обновления и что-то подобное, это сразу всплывет.

Причина простая до неприличия — любой их билд анализируется и потом будет такой чудовищный удар по репутации айфона, который изначально был известен своей защищенностью, что компания вряд-ли пойдет на что-то подобное.

Реверс-инжениринг прошивок был, и любую подобную историю уже давно бы спалили — их обновления и ОС под постоянным контролем не только спецслужб и APT (для которых это очевидная цель), но и толпы исследователей. АНБ и ЦРУ тратят миллионы долларов на расшифровку силами коммерческих подрядчиков каждого айфона, который достался им от террористов. А Apple дает им бэкапы из облака. По ордеру.

Можно пытаться строить свою ОС под конкретные задачи, только это вопрос на десятки миллионов долларов и с сомнительным результатов — ну нельзя, нельзя построить защищенную ОС на базе дырявого ядра. Даже если ты Гугл, этот сложно. Но даже если получится, приложений под нее не будет. А значит результат будет на уровне кнопочного телефона, и каждый чиновник просто заведет себе второй удобный телефон. Разумеется, на жену, собаку или водителя.

Альтернатива — создавать гиганты уровня Хуавея или других топовых китайцев (к слову, они одно время платили исследователям в МСК по пол-миллиона рубелей в месяц в белую). Только это тоже задача на миллиарды долларов и годы, если не десятилетия. Хотя идея благая, не спорим.

Вот такие дела. В борьбе секурности и удобства обычно побеждает второе.