Управление перспективных исследовательских проектов Министерства обороны США (DARPA) купила за $3,250,759.00(!) халтурненький отчет о Российском кибербезе. Собран он лишь из открытых источников публикаций, Линкедина, телеграм-каналов, сайтов орагнизаций и конференций.
Часть информации устаревшая (Катя привет!).
Было забавно увидеть в этом отчете фамилии и имена кучи моих друзей и знакомых!
Жаль 3side слишком молод, чтоб его заметили "исследователи" из США(
Видимо бюджета на нас не хватило!
С самим 120-страничным отчетом можете ознакомиться по ссылке.
Часть информации устаревшая (Катя привет!).
Было забавно увидеть в этом отчете фамилии и имена кучи моих друзей и знакомых!
Жаль 3side слишком молод, чтоб его заметили "исследователи" из США(
Видимо бюджета на нас не хватило!
С самим 120-страничным отчетом можете ознакомиться по ссылке.
Margin Research
Russia’s Cyber Operations are a Threat to American National Security
Document summarizing a larger research paper outlining the threats and structure of Russian cyber operations.
Восстановление замазанной/обрезанной части изображения
Внимание, это НЕ шутка, хоть пост и выходит 1 апреля.
Если вы пользуетесь не обновлённым смартфоном Google Pixel или стандартным приложением Snipping Tool в Windows 11 любой версии для обрезки и замазывания изображения, то у нас для вас плохие новости.
Есть шанс, что ваше редактирование можно «отменить». В случае если картинка и замазана, и обрезана шанс довольно высок. Проблема в том, что фоторедакторы особым образом перезаписывают изображение при изменении, и у них остается «лишнее место» в конце картинки.
Например, если мы картинку обрезали, то у нас остается лишнее место в конце файла. Или если мы замазали одним цветом, то картинка лучше сожмется и тоже появится лишнее место. А эту лишнюю часть фоторедактор не перезаписывает, где может остаться тот самый обрезанный или замазанный кусок. Который можно легко вернуть. Уже даже есть бесплатный инструмент, который позволяет это попробовать сделать на любых файлах, работает если они были редактированы на Pixel.
Для Pixel эта уязвимость получила название - Acropalypse (CVE-2023-21036), она уже закрыта в мартовском обновлении.
Для Snipping Tool в Windows 11 – уязвимость еще не исправлена.
Рекомендации по безопасному скрытию информации на изображениях:
- Если у вас Pixel – обновите его.
- Не пользуйтесь. стандартной утилитой Snipping Tool в Windows 11. Есть множество иных и более удобных приложений.
- Используйте только 100% непрозрачную заливку при замазывании/закрашивании.
- Никакой «пикселизации» и «размытия» — это обратимо.
Внимание, это НЕ шутка, хоть пост и выходит 1 апреля.
Если вы пользуетесь не обновлённым смартфоном Google Pixel или стандартным приложением Snipping Tool в Windows 11 любой версии для обрезки и замазывания изображения, то у нас для вас плохие новости.
Есть шанс, что ваше редактирование можно «отменить». В случае если картинка и замазана, и обрезана шанс довольно высок. Проблема в том, что фоторедакторы особым образом перезаписывают изображение при изменении, и у них остается «лишнее место» в конце картинки.
Например, если мы картинку обрезали, то у нас остается лишнее место в конце файла. Или если мы замазали одним цветом, то картинка лучше сожмется и тоже появится лишнее место. А эту лишнюю часть фоторедактор не перезаписывает, где может остаться тот самый обрезанный или замазанный кусок. Который можно легко вернуть. Уже даже есть бесплатный инструмент, который позволяет это попробовать сделать на любых файлах, работает если они были редактированы на Pixel.
Для Pixel эта уязвимость получила название - Acropalypse (CVE-2023-21036), она уже закрыта в мартовском обновлении.
Для Snipping Tool в Windows 11 – уязвимость еще не исправлена.
Рекомендации по безопасному скрытию информации на изображениях:
- Если у вас Pixel – обновите его.
- Не пользуйтесь. стандартной утилитой Snipping Tool в Windows 11. Есть множество иных и более удобных приложений.
- Используйте только 100% непрозрачную заливку при замазывании/закрашивании.
- Никакой «пикселизации» и «размытия» — это обратимо.
Об оценке уязвимостей
Для коллег в ИБ.
Специалисты по информационной безопасности уже много лет назад приняли оценку Common Vulnerability Scoring System(CVSS) фактически за стандарт. Выглядит она как вектор, например, для последней версии (3.1) стандарта вот так:
Расшифровка:
А в описании уязвимости (CVE-2023-23415), которую я и привел в пример, написано, что она позволяет выполнить код в Windows через протокол ICMP. Выглядит как что-то невероятно разрушительное и опасное, верно?
Но что оценка не учитывает? Условия.
• Не должно быть установлено последнее обновление Windows, это в целом очевидно для любой закрытой уязвимости.
• Уязвимость не работает на установленном Windows по умолчанию.
• Уязвимость требует, чтобы какое-либо уязвимое приложение приложение прослушивало raw-сокеты, и именно туда нужно слать специально сформированный ICMP-пакет, чтоб сработала уязвимость. Это у единиц.
• Само приложение, указанное в пункте выше, обязательно должно быть запущено с правами администратора.
• Входящий ICMP траффик должен быть разрешен на Windows Firewall.
• У злоумышленников должен быть эксплойт на выполнение кода, в публичном доступе которого нет.
В результате чего мы понимаем, чтоб эта страшная по оценке уязвимость была действительно страшная, необходим целый ряд специфичных условий. Оценка это не учитывает, в этом и проблема. Поэтому не ориентируйтесь только на цифры, читайте разборы.
Для коллег в ИБ.
Специалисты по информационной безопасности уже много лет назад приняли оценку Common Vulnerability Scoring System(CVSS) фактически за стандарт. Выглядит она как вектор, например, для последней версии (3.1) стандарта вот так:
Base Score:9.8 CRITICAL - Критическая уязвимость с базовой оценкой 9.8 из 10.CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – ее описывающий вектор.Расшифровка:
Attack Vector: Network – эксплуатация возможна по сети.Attack Complexity: Low – сложность эксплуатации низка.Privileges Required: None – никаких привилегий не нужно.User Interaction: None – никакого взаимодействия с пользователем не нужно.Scope: Unchanged – затрагивает только сам уязвимый хост.Confidentiality: High – высокое влияние на конфиденциальность.Integrity: High – высокое влияние на целостность.Availability: High – высокое влияние на доступность.А в описании уязвимости (CVE-2023-23415), которую я и привел в пример, написано, что она позволяет выполнить код в Windows через протокол ICMP. Выглядит как что-то невероятно разрушительное и опасное, верно?
Но что оценка не учитывает? Условия.
• Не должно быть установлено последнее обновление Windows, это в целом очевидно для любой закрытой уязвимости.
• Уязвимость не работает на установленном Windows по умолчанию.
• Уязвимость требует, чтобы какое-либо уязвимое приложение приложение прослушивало raw-сокеты, и именно туда нужно слать специально сформированный ICMP-пакет, чтоб сработала уязвимость. Это у единиц.
• Само приложение, указанное в пункте выше, обязательно должно быть запущено с правами администратора.
• Входящий ICMP траффик должен быть разрешен на Windows Firewall.
• У злоумышленников должен быть эксплойт на выполнение кода, в публичном доступе которого нет.
В результате чего мы понимаем, чтоб эта страшная по оценке уязвимость была действительно страшная, необходим целый ряд специфичных условий. Оценка это не учитывает, в этом и проблема. Поэтому не ориентируйтесь только на цифры, читайте разборы.
Мы проводим стрим "Колл-центры "службы безопасности" и где они обитают" для наших старых друзей из CatNews.
Это тот же доклад, который рассказывали в Failover Bar, кто его не слышал, но кому интересно, добро пожаловать!
Задавайте вопросы в чате стрима на YouTube-канале cat_cat.
https://www.youtube.com/watch?v=DpBpDvDfaZ8
UPD. Стрим завершен, запись осталась на канале.
Это тот же доклад, который рассказывали в Failover Bar, кто его не слышал, но кому интересно, добро пожаловать!
Задавайте вопросы в чате стрима на YouTube-канале cat_cat.
https://www.youtube.com/watch?v=DpBpDvDfaZ8
UPD. Стрим завершен, запись осталась на канале.
YouTube
Колл-центры "службы безопасности" и где они обитают
С неизвестных номеров звонили уже почти каждому. Но многие не до конца представляют, на что они способны и как они функционируют. Основа их деятельности - отъем денег у населения, но по их вине УЖЕ было подожжено два отделения Сбера, одна машина, одно здание…
IDOR-уязвимость в приложении Росреестра
Еще вчера несколько уважаемых каналов по кибербезопасности сообщили, что в API мобильного приложения Росреестра (mobile.rosreestr.ru) обнаружена уязвимость, позволяющая выгрузить по кадастровому номеру недвижимости следующую информацию:
- ФИО владельца.
- Дату рождения.
- Адрес.
- СНИЛС.
- Паспортные данные.
- Кадастровую стоимость.
- Дату регистрации права собственности.
Для этого необходимо лишь отправить кадастровый номер в определенном запросе, аутентификация для этого не требуется.
Судя по информации каналов, обнаруживший уязвимость исследователь сообщил о ней в Росреестр, но реакции не последовало.
К сожалению, редакция канала получает все больше подтверждений о правдивости данной новости. Надеемся огласка приведет к скорейшему ее закрытию.
Еще вчера несколько уважаемых каналов по кибербезопасности сообщили, что в API мобильного приложения Росреестра (mobile.rosreestr.ru) обнаружена уязвимость, позволяющая выгрузить по кадастровому номеру недвижимости следующую информацию:
- ФИО владельца.
- Дату рождения.
- Адрес.
- СНИЛС.
- Паспортные данные.
- Кадастровую стоимость.
- Дату регистрации права собственности.
Для этого необходимо лишь отправить кадастровый номер в определенном запросе, аутентификация для этого не требуется.
Судя по информации каналов, обнаруживший уязвимость исследователь сообщил о ней в Росреестр, но реакции не последовало.
К сожалению, редакция канала получает все больше подтверждений о правдивости данной новости. Надеемся огласка приведет к скорейшему ее закрытию.
3side на КодИБ в Уфе
Неделю назад приняли участие в очередном мероприятии от КодИБ — CyberSecurity SABANTUY в Уфе. Антон рассказывал про Zero trust, участвовал в круглом столе и вообще съездил очень удачно. Посмотрим на результаты, но пока довольно оптимистично.
Кстати говоря, в конце апреля (27 числа) мы будем участвовать в другом мероприятии КодИБ в Санкт-Петербурге!
Ну, и пара фоточек с круглого стола из Уфы.
Неделю назад приняли участие в очередном мероприятии от КодИБ — CyberSecurity SABANTUY в Уфе. Антон рассказывал про Zero trust, участвовал в круглом столе и вообще съездил очень удачно. Посмотрим на результаты, но пока довольно оптимистично.
Кстати говоря, в конце апреля (27 числа) мы будем участвовать в другом мероприятии КодИБ в Санкт-Петербурге!
Ну, и пара фоточек с круглого стола из Уфы.
О выборе секретарши
Часто предлагают оценивать политика по его команде, я же предлагаю оценивать руководителя по его секретарю, но выбор хорошего секретаря идет не по модельным стандартам. Когда мы с коллегами проводили проекты по телефонному фишингу секретарей, нам ставилась главная цель - выяснить как можно больше личной информации руководителей.
Особенно нас интересовали:
• ОС его мобильного телефона.
• Особенности ежедневного расписания, где проживает и бывает.
• Его личный номер телефона.
• Номер и марка его личного автомобиля.
• Паспортные данные.
И прочие данные, которые могут быть использованы злоумышленниками для корпоративного шпионажа.
Звонили мы под видом несуществующей конференции, на которую руководитель зарегистрировался сам, а мы очень рады принять его в качестве «VIP-гостя». Под эту модель очень просто подстроить любые интересующие нас вопросы, особенно интересными были такие:
• В «VIP-пакет» входит утренний трансфер до места проведения конференции и вечерний обратно, поэтому подскажите его адрес проживания или где он бывает. Ответ на этот вопрос нескольких секретарей нас поразил. «Его домашний адрес (), но пару раз в неделю, чаще всего по пятницам он ночует по адресу (), и где-то пару раз в месяц заезжает еще на этот адрес (), запишите на всякий случай все, я уточню у него ближе к дате». Интересно, что об этих адресах думает его жена?
• Мы хотим подарить элитный мерч конференции, включающий Powerbank и периферию для ПК, подскажите, у него IPhone? А у него личный Mac или ПК?
• Если он захочет приехать сам, то на какой машине? А можно контакты водителя? Ну и его личный телефон, на всякий случай?
• Ну и последняя формальность, для VIP-посетителей особая программа и строгая регистрация, нужны его паспортные данные.
Этот вопрос умышленно задавался в конце, когда «жертва» уже привыкла сотрудничать, и на нас работает «принцип последовательности».
Статистика по ответам такова, около 80% секретарей рассказывали нам все. Оставшиеся 20% не говорили ничего. Эти 20% были поистине профессионалы своего дела и судя по голосу они были далеко не молоды. Один из диалогов с настоящей профи пересказал мой бывший коллега. В этом диалоге с самого начала звучали подобные фразы:
«Мальчик, ты вообще кто? И зачем ты сюда звонишь? Я тебя не знаю и пока нам разговаривать не о чем, сначала пришли мне всю информацию, я передам руководителю и только тогда звони»
Коллега попытался объяснить дело срочностью, и что данные якобы уже высылались, ответ был еще жестче.
«Ты что-то выведываешь, мы тебя обязательно поищем и найдем, не звони лучше сюда больше»
Хоть и проект был на 100% легален, коллега от этого разговора побледнел и первой его фразой после разговора было: «Ее стальные яйца звенели мне в трубку».
Поэтому мы настоятельно рекомендуем относиться к выбору секретарей так, чтобы они стали одной из важных элементов защиты, а не дополнительной дырой в безопасности вашей компании. И временами проводить подобные проверки.
Часто предлагают оценивать политика по его команде, я же предлагаю оценивать руководителя по его секретарю, но выбор хорошего секретаря идет не по модельным стандартам. Когда мы с коллегами проводили проекты по телефонному фишингу секретарей, нам ставилась главная цель - выяснить как можно больше личной информации руководителей.
Особенно нас интересовали:
• ОС его мобильного телефона.
• Особенности ежедневного расписания, где проживает и бывает.
• Его личный номер телефона.
• Номер и марка его личного автомобиля.
• Паспортные данные.
И прочие данные, которые могут быть использованы злоумышленниками для корпоративного шпионажа.
Звонили мы под видом несуществующей конференции, на которую руководитель зарегистрировался сам, а мы очень рады принять его в качестве «VIP-гостя». Под эту модель очень просто подстроить любые интересующие нас вопросы, особенно интересными были такие:
• В «VIP-пакет» входит утренний трансфер до места проведения конференции и вечерний обратно, поэтому подскажите его адрес проживания или где он бывает. Ответ на этот вопрос нескольких секретарей нас поразил. «Его домашний адрес (), но пару раз в неделю, чаще всего по пятницам он ночует по адресу (), и где-то пару раз в месяц заезжает еще на этот адрес (), запишите на всякий случай все, я уточню у него ближе к дате». Интересно, что об этих адресах думает его жена?
• Мы хотим подарить элитный мерч конференции, включающий Powerbank и периферию для ПК, подскажите, у него IPhone? А у него личный Mac или ПК?
• Если он захочет приехать сам, то на какой машине? А можно контакты водителя? Ну и его личный телефон, на всякий случай?
• Ну и последняя формальность, для VIP-посетителей особая программа и строгая регистрация, нужны его паспортные данные.
Этот вопрос умышленно задавался в конце, когда «жертва» уже привыкла сотрудничать, и на нас работает «принцип последовательности».
Статистика по ответам такова, около 80% секретарей рассказывали нам все. Оставшиеся 20% не говорили ничего. Эти 20% были поистине профессионалы своего дела и судя по голосу они были далеко не молоды. Один из диалогов с настоящей профи пересказал мой бывший коллега. В этом диалоге с самого начала звучали подобные фразы:
«Мальчик, ты вообще кто? И зачем ты сюда звонишь? Я тебя не знаю и пока нам разговаривать не о чем, сначала пришли мне всю информацию, я передам руководителю и только тогда звони»
Коллега попытался объяснить дело срочностью, и что данные якобы уже высылались, ответ был еще жестче.
«Ты что-то выведываешь, мы тебя обязательно поищем и найдем, не звони лучше сюда больше»
Хоть и проект был на 100% легален, коллега от этого разговора побледнел и первой его фразой после разговора было: «Ее стальные яйца звенели мне в трубку».
Поэтому мы настоятельно рекомендуем относиться к выбору секретарей так, чтобы они стали одной из важных элементов защиты, а не дополнительной дырой в безопасности вашей компании. И временами проводить подобные проверки.
Слишком умные автомобили — снять фару, подключиться к шине и угнать за 60 секунд
Пишут, что в продаже засветился новый девайс для угонщиков. Идея простая: у машины демонтируется фара, получается доступ к CAN-шине (которая по умолчанию считается доверенной частью архитектуры), ну и дальше по ситуации. На русском история описана здесь.
Не вдаваясь в технические детали (кому надо - прочитает по ссылкам выше), можем сказать одно. Современный автомобиль — это достаточно сложная система, и чем более сложной она будет становиться, тем более изощренные векторы атак будут появляться. Частично — направленные на угон, частично — на вредительство. Ведь, контролируя трафик CAN-шины, можно влиять на управление, а следовательно подстроить ДТП.
Теслу, как одну из самых умных на тот момент ломали первой более 7 лет назад, теперь ломают и все остальные.
Автопроизводители уже анонсировали платные "подписочные" функции, активирующиеся при оплате в личном кабинете, так что не за горами появление черного рынка "кряков" для автомобилей!
Умные дома, умные машины и прочий 3.0 — это не только удобство, это огромное количество новых уязвимостей. И один из админов этого канала совершенно точно предпочитает "старые" машины с "будильниками" вместо панелей и минимумом "умных" функций.
P.S. Фото из личного архива. Москва, конференция ICC 2018, демонстрация удаленного управления Tesla через CAN-шину.
Пишут, что в продаже засветился новый девайс для угонщиков. Идея простая: у машины демонтируется фара, получается доступ к CAN-шине (которая по умолчанию считается доверенной частью архитектуры), ну и дальше по ситуации. На русском история описана здесь.
Не вдаваясь в технические детали (кому надо - прочитает по ссылкам выше), можем сказать одно. Современный автомобиль — это достаточно сложная система, и чем более сложной она будет становиться, тем более изощренные векторы атак будут появляться. Частично — направленные на угон, частично — на вредительство. Ведь, контролируя трафик CAN-шины, можно влиять на управление, а следовательно подстроить ДТП.
Теслу, как одну из самых умных на тот момент ломали первой более 7 лет назад, теперь ломают и все остальные.
Автопроизводители уже анонсировали платные "подписочные" функции, активирующиеся при оплате в личном кабинете, так что не за горами появление черного рынка "кряков" для автомобилей!
Умные дома, умные машины и прочий 3.0 — это не только удобство, это огромное количество новых уязвимостей. И один из админов этого канала совершенно точно предпочитает "старые" машины с "будильниками" вместо панелей и минимумом "умных" функций.
P.S. Фото из личного архива. Москва, конференция ICC 2018, демонстрация удаленного управления Tesla через CAN-шину.
Утечка и выключение серверов правительства Кипра
В результате утечки в Министерстве финансов Республики Кипр оказались недоступны сайты множества министерств, ведомств и департаментов. Сроки устранения последствий пока не называются, т.к. ущерб оказался значительно выше первоначально заявленного.
— Ущерб значительный, — сообщил Cyprus Times анонимный источник, связанный с работой дата-центра.
Прочитав это, вы вероятно подумали, а как утечка в Минфине могла привести к таким последствиям?
Все просто, в подвале этого ведомства находился правительственный дата-центр, в итоге там прорвало трубу и его сервера затопило.
— Будут предприняты все необходимые шаги для исправления ошибок и установления причин того, что именно привело к затоплению, вынудившему отключить центральные сервера государства, — заявил в эфире государственного радио RIK глава пресс-службы правительства Константинос Летимбиотис.
Иногда риски ЧС значительно влияют на риски ИБ, не стоит про это забывать.
"Утечки, которые мы заслужили" (С) - коллега с Кипра.
В результате утечки в Министерстве финансов Республики Кипр оказались недоступны сайты множества министерств, ведомств и департаментов. Сроки устранения последствий пока не называются, т.к. ущерб оказался значительно выше первоначально заявленного.
— Ущерб значительный, — сообщил Cyprus Times анонимный источник, связанный с работой дата-центра.
Прочитав это, вы вероятно подумали, а как утечка в Минфине могла привести к таким последствиям?
Все просто, в подвале этого ведомства находился правительственный дата-центр, в итоге там прорвало трубу и его сервера затопило.
— Будут предприняты все необходимые шаги для исправления ошибок и установления причин того, что именно привело к затоплению, вынудившему отключить центральные сервера государства, — заявил в эфире государственного радио RIK глава пресс-службы правительства Константинос Летимбиотис.
Иногда риски ЧС значительно влияют на риски ИБ, не стоит про это забывать.
"Утечки, которые мы заслужили" (С) - коллега с Кипра.
Вопросы и ответы
В самом начале становления нашего канала, мы запустили рубрику "Так безопасно?" с ответами на вопросы о кибербезопасности.
Тогда подписчиков у нас было не так много, и мы собрали небольшой пул вопросов.
Отвечали на них под хэштегом #3side_так_безопасно, поэтому кому интересно почитать — жмите на него.
Вопросы на тот момент закончились, а аудитория канала за последние недели значительно расширилась, поэтому для всех новоподписавшихся повторяем анонс и ждем новые вопросы!
https://t.iss.one/By3side/20
В самом начале становления нашего канала, мы запустили рубрику "Так безопасно?" с ответами на вопросы о кибербезопасности.
Тогда подписчиков у нас было не так много, и мы собрали небольшой пул вопросов.
Отвечали на них под хэштегом #3side_так_безопасно, поэтому кому интересно почитать — жмите на него.
Вопросы на тот момент закончились, а аудитория канала за последние недели значительно расширилась, поэтому для всех новоподписавшихся повторяем анонс и ждем новые вопросы!
https://t.iss.one/By3side/20
Telegram
3side кибербезопасности
"Так безопасно?" - отвечаем на вопросы про ИБ.
Мы тут запускаем новую рубрику, где будем отвечать на любые актуальные вопросы в сфере кибербезопасности (присылать их можно в @TG_3side). Начнём с важного дисклеймера.
"Так безопасно?" №0: "А возможно ли ..."…
Мы тут запускаем новую рубрику, где будем отвечать на любые актуальные вопросы в сфере кибербезопасности (присылать их можно в @TG_3side). Начнём с важного дисклеймера.
"Так безопасно?" №0: "А возможно ли ..."…
Продавцы страхов – чем современные ИБ-компании/интеграторы похожи на АНБ (и почему это плохо)
Для любого бизнеса, связанного с управлением рисками (а ИБ это классика операционных рисков) рано или поздно становится характерно такое явление, как «торговля страхами», то есть попытка напугать клиента достаточно сильно, чтобы он от испуга заплатил. Это не хорошо и не плохо, это данность. К слову, индустрия не первая – гораздо раньше ИБ торговать страхами начали медики и страховщики. Так вот.
По большому счету, современный рынок ИБ продает своим клиентам в первую очередь не то, что им клиенту надо – а то, что клиенту очень хочется продать. Берем простой пример: вот есть клиент, типичный крупный бизнес с цепочкой складов размером с футбольное поле и выручкой в пару десятков миллиардов. Клиент заказывает аудит, и этот аудит делается неплохо. В начале отчета адекватно оценены риски и указано, что риск утечек для клиента - далеко не ключевой, а риски непрерывности бизнеса гораздо важнее.
А что в рекомендациях? Там мы видим шикарное: автор отчета пишет полностью противоречит своей оценке в начале, и пишет что нужнее всего нашему клиенту DLP-система! Напоминаю, речь о производственной компании со своей логистикой, которой критична непрерывность и у которой куча торчащей в сеть инфраструктуры. Круто, да? Вот их IT-департамент тоже офигел с таких заходов. Зато сразу стало понятно, что у автора отчета наверняка есть варианты с DLP – системами, а то, что клиенту она нужна как козе балалайка, ну да кого это волнует?
Кстати, один из самых красивых исторических примеров продажи страхов когда-то давно исполнило АНБ. В 2008 году на изолированных от сети Интернет компьютерах базы Форт-Мид обнаружился червь Agent.bzt, предположительно «занесенный» с Ближнего Востока доверчивым сотрудником на флешке. Запущенная сутками позже операция «Американская картечь» (Operation Buckshot Yankee) в итоге привела к созданию Киберкомандования США (USCYBERCOM), возглавляемого лично директором АНБ, а не военными. А обнаружение каждого следующего вируса приводило к новой масштабной операции и новыми привилегиями для агентства. Фактически, АНБ полностью захватило власть в силовом блоке.
Комизм ситуации в том, что по современным меркам Agent.bzt не представлял особой угрозы! Он не мог функционировать в изолированных сетях и даже близко не похож на оружие кибершпионажа. Вот только все это не помешало АНБ на столько напугать своего «клиента», что тот заплатил несколько десятков миллиардов долларов на защиту от возможной угрозы без какого-либо понимания ее реальности. Более того, припоминая этот "важнейший инцидент", АНБ добилось лично у президента Буша колоссального расширения собственных полномочий.
По большому счету, многие современные ИБ-компании делают то же самое. Мы против подобного подхода, как бы эффективен он не был.
Для любого бизнеса, связанного с управлением рисками (а ИБ это классика операционных рисков) рано или поздно становится характерно такое явление, как «торговля страхами», то есть попытка напугать клиента достаточно сильно, чтобы он от испуга заплатил. Это не хорошо и не плохо, это данность. К слову, индустрия не первая – гораздо раньше ИБ торговать страхами начали медики и страховщики. Так вот.
По большому счету, современный рынок ИБ продает своим клиентам в первую очередь не то, что им клиенту надо – а то, что клиенту очень хочется продать. Берем простой пример: вот есть клиент, типичный крупный бизнес с цепочкой складов размером с футбольное поле и выручкой в пару десятков миллиардов. Клиент заказывает аудит, и этот аудит делается неплохо. В начале отчета адекватно оценены риски и указано, что риск утечек для клиента - далеко не ключевой, а риски непрерывности бизнеса гораздо важнее.
А что в рекомендациях? Там мы видим шикарное: автор отчета пишет полностью противоречит своей оценке в начале, и пишет что нужнее всего нашему клиенту DLP-система! Напоминаю, речь о производственной компании со своей логистикой, которой критична непрерывность и у которой куча торчащей в сеть инфраструктуры. Круто, да? Вот их IT-департамент тоже офигел с таких заходов. Зато сразу стало понятно, что у автора отчета наверняка есть варианты с DLP – системами, а то, что клиенту она нужна как козе балалайка, ну да кого это волнует?
Кстати, один из самых красивых исторических примеров продажи страхов когда-то давно исполнило АНБ. В 2008 году на изолированных от сети Интернет компьютерах базы Форт-Мид обнаружился червь Agent.bzt, предположительно «занесенный» с Ближнего Востока доверчивым сотрудником на флешке. Запущенная сутками позже операция «Американская картечь» (Operation Buckshot Yankee) в итоге привела к созданию Киберкомандования США (USCYBERCOM), возглавляемого лично директором АНБ, а не военными. А обнаружение каждого следующего вируса приводило к новой масштабной операции и новыми привилегиями для агентства. Фактически, АНБ полностью захватило власть в силовом блоке.
Комизм ситуации в том, что по современным меркам Agent.bzt не представлял особой угрозы! Он не мог функционировать в изолированных сетях и даже близко не похож на оружие кибершпионажа. Вот только все это не помешало АНБ на столько напугать своего «клиента», что тот заплатил несколько десятков миллиардов долларов на защиту от возможной угрозы без какого-либо понимания ее реальности. Более того, припоминая этот "важнейший инцидент", АНБ добилось лично у президента Буша колоссального расширения собственных полномочий.
По большому счету, многие современные ИБ-компании делают то же самое. Мы против подобного подхода, как бы эффективен он не был.
Про взаимоотношение с клиентами и возврат к нам
Мы в последнее время мало пишем про сам бизнес — но это не потому, что он идет куда-то не туда. Но бизнес-процессы в ИБ достаточно длинные, и нам бывает сложно находить реально стоящие темы.
На самом деле, мы тут осознали одну простую вещь: а мы не пытаемся продать сразу и много. Во-первых, далеко не факт, что клиенту это нужно. Во-вторых, клиент не всегда сам понимает, что ему действительно нужно. В-третьих, мы хотим, чтобы клиент понял, в чем преимущества работы с нами. Так что сначала консультации, потом что-то простое, а дальше начинаются варианты.
Мы хотим, чтобы наши клиенты к нам возвращались, если это технически возможно. Чтобы партнерство было длительным, и чтобы модель "Третьей стороны" работала так, как мы изначально задумывали. Тогда все получится.
То есть нам важно, чтобы клиент понимал, почему с нами хорошо работать и развивал собственные компетенции в ИБ. Тогда и наш бизнес будет развиваться, и наши клиенты станут лучше защищены.
А что касается времени исполнения контракта "от первого звонка до итогового отчета", то сейчас эта величина находится где-то в районе 2-3 месяцев. И наш таргет находится на этом уровне. Ускорять работы (если это не явное требование заказчика) смысла нет, работы занимают время, да и нам самим в итоге нужно убедиться, что все сделано хорошо.
А вот процент клиентов, сделавших повторный заказ — это очень, очень важная метрика. И мы очень стараемся сделать ее близкой к 100%.
Мы в последнее время мало пишем про сам бизнес — но это не потому, что он идет куда-то не туда. Но бизнес-процессы в ИБ достаточно длинные, и нам бывает сложно находить реально стоящие темы.
На самом деле, мы тут осознали одну простую вещь: а мы не пытаемся продать сразу и много. Во-первых, далеко не факт, что клиенту это нужно. Во-вторых, клиент не всегда сам понимает, что ему действительно нужно. В-третьих, мы хотим, чтобы клиент понял, в чем преимущества работы с нами. Так что сначала консультации, потом что-то простое, а дальше начинаются варианты.
Мы хотим, чтобы наши клиенты к нам возвращались, если это технически возможно. Чтобы партнерство было длительным, и чтобы модель "Третьей стороны" работала так, как мы изначально задумывали. Тогда все получится.
То есть нам важно, чтобы клиент понимал, почему с нами хорошо работать и развивал собственные компетенции в ИБ. Тогда и наш бизнес будет развиваться, и наши клиенты станут лучше защищены.
А что касается времени исполнения контракта "от первого звонка до итогового отчета", то сейчас эта величина находится где-то в районе 2-3 месяцев. И наш таргет находится на этом уровне. Ускорять работы (если это не явное требование заказчика) смысла нет, работы занимают время, да и нам самим в итоге нужно убедиться, что все сделано хорошо.
А вот процент клиентов, сделавших повторный заказ — это очень, очень важная метрика. И мы очень стараемся сделать ее близкой к 100%.
"Если жертва начала сотрудничать, она сделает ВСЕ"
Кладите трубку, помните о нашей памятке "Бросай трубку".
Иначе может дойти и до такого как бы невероятно это не звучало.
Кладите трубку, помните о нашей памятке "Бросай трубку".
Иначе может дойти и до такого как бы невероятно это не звучало.
Telegram
Baza
«Спасибо Панночке, спасибо А.Б. Уебок, спасибо Игоряше, cлава Брутам, офису! Привет вам от мамонта».
Красноречивые мошенники заставили москвичку перевести им деньги, заложить машину в ломбарде и продать квартиру за 9 миллионов. Затем они убедили женщину…
Красноречивые мошенники заставили москвичку перевести им деньги, заложить машину в ломбарде и продать квартиру за 9 миллионов. Затем они убедили женщину…
О принципах работы "Третьей Стороны" — что значит "работа напрямую с исполнителем"
Нас несколько раз спрашивали: вот у вас нет в штате специалистов, получается, что вы берете их с рынка? Тогда чем вы отличаетесь от обычного посредника и интегратора? Ведь "было бы гораздо лучше, если бы они были в штате, тогда конечным исполнителем были бы вы!"
Объясняем: нет, все сильно иначе. Работа без посредников — это когда исполнитель заключает договор напрямую с заказчиком. Исполнитель — это конкретный человек, конкретный специалист, или группа специалистов, зарегистрированная как юрлицо. То есть это те, кто выполнят работу, и сделают это сами. И заказчик четко понимает, сколько и кому он заплатит, все прозрачно. Здесь нет "зашитых" в цену комиссий, нашего вознаграждения, итд итп. Кстати, нашей команде точно так же нужна юридическая экспертиза, бухгалтерия и другой консалтинг — и все это у нас на аутсорсе, иначе мы были бы "сапожником без сапог".
Когда заказчик нанимает компанию, он нанимает не конечного исполнителя. Он нанимает менеджеров, платит продажникам компании-исполнителя, оплачивает их операционные расходы, электричество, офис, и так далее. А самое главное — совершенно не понятно, сколько из этого получит исполнитель и кто вообще сделает работу. Извините, но субподряды на рынке никто не отменил.
На чем зарабатываем мы? Когда мы начинаем работу, заказчик подписывает с нами отдельное пользовательское соглашение. По нему мы получим фиксированное вознаграждение, величина которого зависит от стоимости контракта (если речь не идет CISO-сервисе). Заказчик платит нам за поиск исполнителя, его проверку, консультации, помощь в написании ТЗ, итогового отчета и проверку качества работы. Мы выполняем роль юристов, проектных менеджеров и консультантов. В одном лице. А еще мы очень стараемся понять, правда ли заказчику действительно нужно то, что он хочет заказать.
Так что да, мы — не посредник, договор исполнитель с заказчиком заключают напрямую, и каждый участник сделки знает кому, сколько и за что он заплатил. И это — то, что мы действительно считаем прямым наймом без посредников.
Нас несколько раз спрашивали: вот у вас нет в штате специалистов, получается, что вы берете их с рынка? Тогда чем вы отличаетесь от обычного посредника и интегратора? Ведь "было бы гораздо лучше, если бы они были в штате, тогда конечным исполнителем были бы вы!"
Объясняем: нет, все сильно иначе. Работа без посредников — это когда исполнитель заключает договор напрямую с заказчиком. Исполнитель — это конкретный человек, конкретный специалист, или группа специалистов, зарегистрированная как юрлицо. То есть это те, кто выполнят работу, и сделают это сами. И заказчик четко понимает, сколько и кому он заплатит, все прозрачно. Здесь нет "зашитых" в цену комиссий, нашего вознаграждения, итд итп. Кстати, нашей команде точно так же нужна юридическая экспертиза, бухгалтерия и другой консалтинг — и все это у нас на аутсорсе, иначе мы были бы "сапожником без сапог".
Когда заказчик нанимает компанию, он нанимает не конечного исполнителя. Он нанимает менеджеров, платит продажникам компании-исполнителя, оплачивает их операционные расходы, электричество, офис, и так далее. А самое главное — совершенно не понятно, сколько из этого получит исполнитель и кто вообще сделает работу. Извините, но субподряды на рынке никто не отменил.
На чем зарабатываем мы? Когда мы начинаем работу, заказчик подписывает с нами отдельное пользовательское соглашение. По нему мы получим фиксированное вознаграждение, величина которого зависит от стоимости контракта (если речь не идет CISO-сервисе). Заказчик платит нам за поиск исполнителя, его проверку, консультации, помощь в написании ТЗ, итогового отчета и проверку качества работы. Мы выполняем роль юристов, проектных менеджеров и консультантов. В одном лице. А еще мы очень стараемся понять, правда ли заказчику действительно нужно то, что он хочет заказать.
Так что да, мы — не посредник, договор исполнитель с заказчиком заключают напрямую, и каждый участник сделки знает кому, сколько и за что он заплатил. И это — то, что мы действительно считаем прямым наймом без посредников.
О технической разведке и удивительных приключениях американцев в Китае
Современная техническая разведка — штука крайне сложная. И в том, что касается людей и организаций, и особенно в том, что касается государств. Зачастую в операции вовлекаются десятки людей, очень нетривиальные системы сбора информации и изрядная доля социальной инженерии. Тут вообще нет общего решения, все идут кто во что горазд. Соответственно, и борьба с прослушкой — тоже дело до некоторой степени творческое. Но только до некоторой, в первую очередь это очень четкое и последовательное исполнение инструкций.
Истории, о которой мы сейчас говорим бы не случилось, если бы каждый из ее участников четко знал, что делать. Если бы регулярно проводились контрольные мероприятия, если бы организационная дисциплина была на должном уровне. Тут как с противопожарными учениями — надо не просто прочитать инструкцию, надо регулярно ее повторять.
Итак, 1 апреля 2001 года американский самолет радиотехнической разведки совершил вынужденную посадку в Китае. Вопреки ожидаемому, экипаж не только не уничтожил всю секретную аппаратуру (выяснилось, что уничтожать ее просто нечем) — внезапно, он таскал на борту вагон того, чему там было совершенно не место. В общем, дядюшка Ляо был крайне признателен.
Итак, "Падение серого Овна" — замечательное чтение на вечер от наших друзей.
Кстати, некоторые задачи по физической безопасности мы тоже берем. В первую очередь те, которые касаются планирования и установки СКУДов и систем наблюдения — есть очень опытные и грамотные исполнители.
Современная техническая разведка — штука крайне сложная. И в том, что касается людей и организаций, и особенно в том, что касается государств. Зачастую в операции вовлекаются десятки людей, очень нетривиальные системы сбора информации и изрядная доля социальной инженерии. Тут вообще нет общего решения, все идут кто во что горазд. Соответственно, и борьба с прослушкой — тоже дело до некоторой степени творческое. Но только до некоторой, в первую очередь это очень четкое и последовательное исполнение инструкций.
Истории, о которой мы сейчас говорим бы не случилось, если бы каждый из ее участников четко знал, что делать. Если бы регулярно проводились контрольные мероприятия, если бы организационная дисциплина была на должном уровне. Тут как с противопожарными учениями — надо не просто прочитать инструкцию, надо регулярно ее повторять.
Итак, 1 апреля 2001 года американский самолет радиотехнической разведки совершил вынужденную посадку в Китае. Вопреки ожидаемому, экипаж не только не уничтожил всю секретную аппаратуру (выяснилось, что уничтожать ее просто нечем) — внезапно, он таскал на борту вагон того, чему там было совершенно не место. В общем, дядюшка Ляо был крайне признателен.
Итак, "Падение серого Овна" — замечательное чтение на вечер от наших друзей.
Кстати, некоторые задачи по физической безопасности мы тоже берем. В первую очередь те, которые касаются планирования и установки СКУДов и систем наблюдения — есть очень опытные и грамотные исполнители.
VK
Падение серого «Овна»
В апреле 2001 года самолет EP-3E ВМС США, позывной Kilo Romeo 919, выполнял обычный разведывательный полет над Южно-Китайским морем. Но в..
Мы начали читать лекции по ИБ
Внезапно для себя, мы тут начали читать небольшие лекции по кибербезопасности и вписались в одну очень годную программу подготовки CTO. Так что пару слов про то, что мы умеем.
Во-первых, самый частый запрос — это "кибербезопасность для топ-менеджмента". По-сути, это чистый self-security с нюансами, от выбора телефона до ведения профилей в соцсетях. Делаем под специфику конкретного заказчика, но общая идея понятна. Цель — дать топам компании понимание возможных угроз и средств защиты.
Второй запрос — это "как устроен современный рынок ИБ". Рассказываем, как правильно выбирать подрядчика и понять, что вам реально нужно, что можно проигнорировать и как распознать манипуляции и попытку продать вам нечто ненужное.
И третий запрос — это "ИБ для индустрии". Рассказываем про то, какие существуют угрозы в каждой конкретной отрасли, как от них защищаются на рынке, как оценить возможные потери и в каких случаях надо предпринимать какие-то действия. Цель — развитие собственных базовых компетенций в ИБ.
Мы не читаем "большие" курсы, так как считаем их откровенно излишними, и пока самым большим по времени был недавний 2-х часовой митап для техфаундеров. Но общая идея понятна — без развития компетенций у бизнеса, рынок не изменится. А мы хотим его изменить.
Внезапно для себя, мы тут начали читать небольшие лекции по кибербезопасности и вписались в одну очень годную программу подготовки CTO. Так что пару слов про то, что мы умеем.
Во-первых, самый частый запрос — это "кибербезопасность для топ-менеджмента". По-сути, это чистый self-security с нюансами, от выбора телефона до ведения профилей в соцсетях. Делаем под специфику конкретного заказчика, но общая идея понятна. Цель — дать топам компании понимание возможных угроз и средств защиты.
Второй запрос — это "как устроен современный рынок ИБ". Рассказываем, как правильно выбирать подрядчика и понять, что вам реально нужно, что можно проигнорировать и как распознать манипуляции и попытку продать вам нечто ненужное.
И третий запрос — это "ИБ для индустрии". Рассказываем про то, какие существуют угрозы в каждой конкретной отрасли, как от них защищаются на рынке, как оценить возможные потери и в каких случаях надо предпринимать какие-то действия. Цель — развитие собственных базовых компетенций в ИБ.
Мы не читаем "большие" курсы, так как считаем их откровенно излишними, и пока самым большим по времени был недавний 2-х часовой митап для техфаундеров. Но общая идея понятна — без развития компетенций у бизнеса, рынок не изменится. А мы хотим его изменить.
Директор по ИБ — почему сторонний CISO это круто и где подводные камни
Идея найма стороннего специалиста (не только по ИБ, любого) — она совершенно не новая. Суть простая — компания получает компетентного специалиста на part-time и экономит время. По большому счету, так работает весь современный консалтинг в котором, к слову, оба основателя "Третьей Стороны" успели поработать.
Главная проблема всех сторонних специалистов в том, что они обычно хуже погружены в бизнес, чем штатный сотрудник. Особенно если аутстаффер постоянно меняется — даже у самого грамотного эксперта уходит время на то, чтобы погрузиться в процесс. И зачастую все плюсы от найма на part-time теряются.
Сторонний CISO (директор по ИБ) — это человек, который с клиентом всегда. Который один раз погрузился в его инфраструктуру, который держит ее в уме, отвечает на вопросы и готов давать рекомендации. Причем в идеале он вообще не заинтересован продавать своему клиенту что-то сверх необходимого, потому что именно на этом строятся доверительные отношения.
Клиенту совсем не нужен чужой продажник за свой счет — ему нужно максимально простое и дешевое решение проблемы. Так что если вы нанимаете CISO, даже самого лучшего — смотрите на альтернативы того, что он предлагает. Спрашивайте его, почему эта услуга нужна и ее надо заказывать именно там, где он предлагает.
В конце концов, самое важное в таких отношениях — это доверие. Иначе проще и дешевле будет брать сотрудника в штат.
Идея найма стороннего специалиста (не только по ИБ, любого) — она совершенно не новая. Суть простая — компания получает компетентного специалиста на part-time и экономит время. По большому счету, так работает весь современный консалтинг в котором, к слову, оба основателя "Третьей Стороны" успели поработать.
Главная проблема всех сторонних специалистов в том, что они обычно хуже погружены в бизнес, чем штатный сотрудник. Особенно если аутстаффер постоянно меняется — даже у самого грамотного эксперта уходит время на то, чтобы погрузиться в процесс. И зачастую все плюсы от найма на part-time теряются.
Сторонний CISO (директор по ИБ) — это человек, который с клиентом всегда. Который один раз погрузился в его инфраструктуру, который держит ее в уме, отвечает на вопросы и готов давать рекомендации. Причем в идеале он вообще не заинтересован продавать своему клиенту что-то сверх необходимого, потому что именно на этом строятся доверительные отношения.
Клиенту совсем не нужен чужой продажник за свой счет — ему нужно максимально простое и дешевое решение проблемы. Так что если вы нанимаете CISO, даже самого лучшего — смотрите на альтернативы того, что он предлагает. Спрашивайте его, почему эта услуга нужна и ее надо заказывать именно там, где он предлагает.
В конце концов, самое важное в таких отношениях — это доверие. Иначе проще и дешевле будет брать сотрудника в штат.
Мексиканские наркокартели похищали инженеров, чтобы построить секретную систему связи
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи. И вообще, идея то звучит разумно — если у тебя есть вагон денег, тебе нужна связь и ты не можешь просто купить ее у подрядчика на рынке — укради этого подрядчика. Ну, или его сотрудников. Кстати, ни одного из них потом вроде как не нашли.
Но тут самое главное в другом. Кроме сетевых инженеров, Zetas похищали инженеров по ИБ, потому что сразу учитывали ИБ-риски при создании своей инфраструктуры. Опять же, они вряд-ли боялись правительства, скорее конкурентов. Любопытно, но даже наркокартели занимаются ИБ — в отличие от многих российских компаний!
Мы привыкли думать, что организованная преступность — это что-то тайное, это мафия с ее омертой и все такое прочее. Нет, все куда интереснее — если 10 лет назад они строили собственные вышки сотовой связи, то на что они способны сейчас? Недавно, кстати, была новость о том, как подводная "нарколодка" пересекла Атлантический океан, но это скорее забавное. Так что можем только порадоваться, что условные Zetas не занимаются киберкриминалом — а то про русских, украинских и северокорейских хакеров все бы давно уже забыли.
Де-факто, целыми районами Мексики управляют наркоторговцы. Ситуация не то, чтобы уникальная — в Ливане, например, схожая картина. И ситуация, когда наркокартель получает в свои руки относительно современные системы связи и вооружение не нова — снова смотрим на Ливан.
При этом все эти современные системы связи нужны Zetas или другим картелям не для того, чтобы скрывать свою деятельность от властей. Гораздо более страшным врагом для них являются другие картели — в отличие от мексиканского правительства, давно и плотно "забившего" на борьбу с наркотрафиком. Ну и отчасти связь должна защищать от внимания американцев. По-сути, складывается любопытная картина: один наркокартель похищает людей, чтобы выстроить сеть передатчиков, чтобы скрывать свою деятельность от других картелей. Такая вот конкуренция в sin industries в реальном времени.
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи. И вообще, идея то звучит разумно — если у тебя есть вагон денег, тебе нужна связь и ты не можешь просто купить ее у подрядчика на рынке — укради этого подрядчика. Ну, или его сотрудников. Кстати, ни одного из них потом вроде как не нашли.
Но тут самое главное в другом. Кроме сетевых инженеров, Zetas похищали инженеров по ИБ, потому что сразу учитывали ИБ-риски при создании своей инфраструктуры. Опять же, они вряд-ли боялись правительства, скорее конкурентов. Любопытно, но даже наркокартели занимаются ИБ — в отличие от многих российских компаний!
Мы привыкли думать, что организованная преступность — это что-то тайное, это мафия с ее омертой и все такое прочее. Нет, все куда интереснее — если 10 лет назад они строили собственные вышки сотовой связи, то на что они способны сейчас? Недавно, кстати, была новость о том, как подводная "нарколодка" пересекла Атлантический океан, но это скорее забавное. Так что можем только порадоваться, что условные Zetas не занимаются киберкриминалом — а то про русских, украинских и северокорейских хакеров все бы давно уже забыли.
Де-факто, целыми районами Мексики управляют наркоторговцы. Ситуация не то, чтобы уникальная — в Ливане, например, схожая картина. И ситуация, когда наркокартель получает в свои руки относительно современные системы связи и вооружение не нова — снова смотрим на Ливан.
При этом все эти современные системы связи нужны Zetas или другим картелям не для того, чтобы скрывать свою деятельность от властей. Гораздо более страшным врагом для них являются другие картели — в отличие от мексиканского правительства, давно и плотно "забившего" на борьбу с наркотрафиком. Ну и отчасти связь должна защищать от внимания американцев. По-сути, складывается любопытная картина: один наркокартель похищает людей, чтобы выстроить сеть передатчиков, чтобы скрывать свою деятельность от других картелей. Такая вот конкуренция в sin industries в реальном времени.
Социотехническое тестирование на проникновение — чем оно отличается от простого фишинга?
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.
Обоюдоострый меч пиара
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов Anonymous с помощью социальных сетей. А 5 февраля 2011 года в интервью Financial Times он и вовсе заявил, что фирма внедрилась в ряды хактивистов и может разоблачить большинство активных членов. Обещал он это выполнить на предстоящей конференции B-Sides, а после был готов дорого продать силовым структурам США и другим дорогим клиентам подробный отчёт по членам Anonymous.
На следующий день личные аккаунты Аарона, инфраструктура HBGary и инфраструктура её материнской компании HBGary Federal были взломаны хактивистами. Для специалистов отмечу, что использовались для взлома SQL-инъекции, радужные таблицы, повышение привилегий и социальная инженерия, сам киллчейн можно посмотреть тут.
Что именно пострадало?
— Сайт компании был дефейснут. И там стала красоваться надпись, что не стоит связываться с Anonymous, а эта акция – самозащита.
— Взломан сервер электронной почты, украдены и удалены более 68 тысяч писем и документов. Утечка задела не только саму компанию, но и их партнеров в сфере кибербезопасности, чьи материалы были обнаружены в письмах.
— Взломан и взят под контроль личный аккаунт Аарона Барра в Твиттере.
— Вайпнут его личный iPad.
— Устроен телефонный и факс DDoS, парализовавший работу компании мусорными звонками.
Среди обнародованных документов был и планируемый к продаже «отчет по Anonymous», в котором, по словам активистов, список подозреваемых был составлен практически бездоказательно и мог привести к арестам и слежке за множеством невинных людей.
Также были обнаружены планы по работе против WikiLeaks, предлагалось дискредитировать компанию с помощью подделки документов. Обнаружился и план по давлению на британского журналиста правозащитника Глена Гринвальда, поддерживающего WikiLeaks. К слову, именно он впоследствии будет помогать Эдварду Сноудену.
К чему это привело помимо хайпа? Торговая палата США открестилась от любых контрактов с фирмой, заявив, что правительство не платило им ни копейки. Аарон Барр объявил о своей отставке. Было запущено расследование о действиях компании и её партнеров (Palantir Technologies, Berico Technologies), но, судя по всему, оно заглохло до следующего скандала. Через год HBGary была поглощена на неизвестных, но, скорее всего, не очень комфортных для основателей условиях, ManTech International.
А атакующие? Часть группы, организовавшей взлом, подсела на «хайп» и превратилась в самых мемных хактивистов Lulzsec. Впрочем привлечение внимания к себе их в будущем и погубило. Обоюдоострый меч пиара поразил и тех и других.
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов Anonymous с помощью социальных сетей. А 5 февраля 2011 года в интервью Financial Times он и вовсе заявил, что фирма внедрилась в ряды хактивистов и может разоблачить большинство активных членов. Обещал он это выполнить на предстоящей конференции B-Sides, а после был готов дорого продать силовым структурам США и другим дорогим клиентам подробный отчёт по членам Anonymous.
На следующий день личные аккаунты Аарона, инфраструктура HBGary и инфраструктура её материнской компании HBGary Federal были взломаны хактивистами. Для специалистов отмечу, что использовались для взлома SQL-инъекции, радужные таблицы, повышение привилегий и социальная инженерия, сам киллчейн можно посмотреть тут.
Что именно пострадало?
— Сайт компании был дефейснут. И там стала красоваться надпись, что не стоит связываться с Anonymous, а эта акция – самозащита.
— Взломан сервер электронной почты, украдены и удалены более 68 тысяч писем и документов. Утечка задела не только саму компанию, но и их партнеров в сфере кибербезопасности, чьи материалы были обнаружены в письмах.
— Взломан и взят под контроль личный аккаунт Аарона Барра в Твиттере.
— Вайпнут его личный iPad.
— Устроен телефонный и факс DDoS, парализовавший работу компании мусорными звонками.
Среди обнародованных документов был и планируемый к продаже «отчет по Anonymous», в котором, по словам активистов, список подозреваемых был составлен практически бездоказательно и мог привести к арестам и слежке за множеством невинных людей.
Также были обнаружены планы по работе против WikiLeaks, предлагалось дискредитировать компанию с помощью подделки документов. Обнаружился и план по давлению на британского журналиста правозащитника Глена Гринвальда, поддерживающего WikiLeaks. К слову, именно он впоследствии будет помогать Эдварду Сноудену.
К чему это привело помимо хайпа? Торговая палата США открестилась от любых контрактов с фирмой, заявив, что правительство не платило им ни копейки. Аарон Барр объявил о своей отставке. Было запущено расследование о действиях компании и её партнеров (Palantir Technologies, Berico Technologies), но, судя по всему, оно заглохло до следующего скандала. Через год HBGary была поглощена на неизвестных, но, скорее всего, не очень комфортных для основателей условиях, ManTech International.
А атакующие? Часть группы, организовавшей взлом, подсела на «хайп» и превратилась в самых мемных хактивистов Lulzsec. Впрочем привлечение внимания к себе их в будущем и погубило. Обоюдоострый меч пиара поразил и тех и других.
YouTube
What was the HBGary hack?
In 2011 the online group Anonymous launched an attack on the company HBGary, a US security contractor. Within a short period of time they were able to gain access to HBGary’s servers. The company’s private emails and private user account data were published…