Forwarded from НеКасперский
Известного украинского ИБ-специалиста Виталия Кремеза обнаружили мертвым
Связано ли это как-то с обвинениями в причастности к программе-вымогателю Azov?
Связано ли это как-то с обвинениями в причастности к программе-вымогателю Azov?
26-летний украинец Марк Соколовский, задержан в ЕС и ожидает экстрадиции в США.
Его обвиняют в разработке вредоносного ПО Raccoon Infostealer, на котором он успешно зарабатывал с начала 2019 года, сдавая его в аренду прочим злоумышленникам за 200 долларов в месяц.
Впервые он попал в поле зрения Юстиции США допустив стандартную ошибку, привязал к одному из форумов по кибербезопасности, где выступал под криминальным никнемом - свой "белый" gmail аккаунт. А к этой почте был привязан ICloud аккаунт, из которого по запросу правоохранителей была извлечена вот эта замечательная фотография пачек долларов и лица нашего "героя" (фото 1).
Но из Украины его было не достать, поэтому дело заглохло, Марк же спокойно и безбедно жил со своей семьей в Харькове, пока не началась СВО. В начале марта телефон Марка неожиданно обнаружился в Польше, наш "герой" бежал из военного Харькова и мобилизации подальше. Бежал с молодой блондинкой и на машине Порш Кайен, оставив в родном городе мать и семью. 18 марта он въехал в Германию (фото 2).
Поймать его помогла его подружка, которая старательно документировала их поездку по Европе в своем Инстаграме (фото 3). В Нидерландах он был задержан, экстрадиция уже удовлетворена, шанс на апелляцию есть, но призрачный. Ему предъявлены обвинения:
- в сговоре с целью совершения компьютерного мошенничества;
- обвинение в сговоре с целью совершения мошенничества с использованием электронных средств;
- одно обвинение в сговоре с целью отмывания денег и одно обвинение в краже личных данных при отягчающих обстоятельствах.
Ему грозит наказание до 27 лет тюрьмы.
Министерство юстиции США создало даже сайт raccoon.ic3.gov - чтобы каждый мог проверить, попал ли его адрес электронной почты в список жертв Raccoon Stealer.
Его обвиняют в разработке вредоносного ПО Raccoon Infostealer, на котором он успешно зарабатывал с начала 2019 года, сдавая его в аренду прочим злоумышленникам за 200 долларов в месяц.
Впервые он попал в поле зрения Юстиции США допустив стандартную ошибку, привязал к одному из форумов по кибербезопасности, где выступал под криминальным никнемом - свой "белый" gmail аккаунт. А к этой почте был привязан ICloud аккаунт, из которого по запросу правоохранителей была извлечена вот эта замечательная фотография пачек долларов и лица нашего "героя" (фото 1).
Но из Украины его было не достать, поэтому дело заглохло, Марк же спокойно и безбедно жил со своей семьей в Харькове, пока не началась СВО. В начале марта телефон Марка неожиданно обнаружился в Польше, наш "герой" бежал из военного Харькова и мобилизации подальше. Бежал с молодой блондинкой и на машине Порш Кайен, оставив в родном городе мать и семью. 18 марта он въехал в Германию (фото 2).
Поймать его помогла его подружка, которая старательно документировала их поездку по Европе в своем Инстаграме (фото 3). В Нидерландах он был задержан, экстрадиция уже удовлетворена, шанс на апелляцию есть, но призрачный. Ему предъявлены обвинения:
- в сговоре с целью совершения компьютерного мошенничества;
- обвинение в сговоре с целью совершения мошенничества с использованием электронных средств;
- одно обвинение в сговоре с целью отмывания денег и одно обвинение в краже личных данных при отягчающих обстоятельствах.
Ему грозит наказание до 27 лет тюрьмы.
Министерство юстиции США создало даже сайт raccoon.ic3.gov - чтобы каждый мог проверить, попал ли его адрес электронной почты в список жертв Raccoon Stealer.
"Третья Сторона" стала партнёром компании "Антифишинг" (antiphish.ru)
Что это означает: теперь мы можем официально предлагать и осуществлять поддержку продуктов "Антифишинга", причем на очень приятных для наших клиентов условиях. Включая любые сопутствующие услуги по безопасности – это наша зона ответственности!
С 2016 года основной продукт «Антишифинга» – это система для тестирования и обучения сотрудников противодействию социальной инженерии. Как мы уже не однократно писали, чаще всего люди – слабое звено на «блюде» кибербезопасности. 95% атак по статистике начинаются с рассылки фишинговых писем и ошибок сотрудников. Подробнее об том, почему люди всегда будут уязвимы мы писали в посте о «Правиле 7%».
Ошибка одного сотрудника может закончиться запуском шифровальщика в сети компании и огромными убытками.
Мы закрутим гайки и настроим блокировки! И тем самым усложните/уроните свои бизнес-процессы, а ваши сотрудники буду искать лазейки, чтобы они могли удобно работать. Ну и доверчивый сотрудник сам поможет злоумышленникам их обойти.
Поэтому приходится сотрудников учить, регулярно их проверять на тестовых рассылках и управлять этим процессом.
А моей компании это уже нужно? Напишите нам, мы вас бесплатно проконсультируем, ведь уровень «зрелости» с точки зрения информационной безопасности у всех разный, и часто он не зависит от размера и компании.
#3side_бизнес
Что это означает: теперь мы можем официально предлагать и осуществлять поддержку продуктов "Антифишинга", причем на очень приятных для наших клиентов условиях. Включая любые сопутствующие услуги по безопасности – это наша зона ответственности!
С 2016 года основной продукт «Антишифинга» – это система для тестирования и обучения сотрудников противодействию социальной инженерии. Как мы уже не однократно писали, чаще всего люди – слабое звено на «блюде» кибербезопасности. 95% атак по статистике начинаются с рассылки фишинговых писем и ошибок сотрудников. Подробнее об том, почему люди всегда будут уязвимы мы писали в посте о «Правиле 7%».
Ошибка одного сотрудника может закончиться запуском шифровальщика в сети компании и огромными убытками.
Мы закрутим гайки и настроим блокировки! И тем самым усложните/уроните свои бизнес-процессы, а ваши сотрудники буду искать лазейки, чтобы они могли удобно работать. Ну и доверчивый сотрудник сам поможет злоумышленникам их обойти.
Поэтому приходится сотрудников учить, регулярно их проверять на тестовых рассылках и управлять этим процессом.
А моей компании это уже нужно? Напишите нам, мы вас бесплатно проконсультируем, ведь уровень «зрелости» с точки зрения информационной безопасности у всех разный, и часто он не зависит от размера и компании.
#3side_бизнес
Рэнсом не умрёт, или пара слов о "вымогатель как услуга" (Ransomware-as-a-service).
Современная криптография — это довольно крутая штука, которая делает много чего полезного, например защищает почти все наши коммуникации и делает мир безопаснее. К сожалению, у всего есть обратная сторона — если ваш файл зашифровать и сделать всё по уму, то расшифровать его сможет только тот, кто зашифровал. Так и работают вымогатели — шифруют данные и требуют деньги за расшифровку и не публикацию их в сети.
Для понимания масштаба — ломают компании, которые занимаются кибербезопасностью (тут), военных (тут), подрядчиков АНБ, правительственные организации, короче вообще всех, кого получается. Шифрование данных и требование выкупа за расшифровку — одно из самых распространённых и прибыльных занятий для киберкриминала. В своё время Антон читал довольно подробную лекцию про рэнсом-индустрию для наших друзей, не связанных с IT/ИБ (тут).
На данный момент криминальная схема "вымогатель как услуга" (Ransomware-as-a-service) отлично отработана. Существуют разные группы: разработчики, которые создают саму вредоносную программу, которая сможет обходить антивирусные средства и осуществляют его "поддержку", модификацию. Распространители, которые занимаются "дистрибьюцией" и делят прибыль с создателями вируса. Владелец биткойн-кошельков/подставных счетов, который получает выкуп и свой процент от него. В общем, работает целая криминальная схема, конвейер криминального бизнес-процесса. Причем с одними разработчиками, или как их чаще называют "Партнерской программой" работает множество распространителей, фактически арендуя у них их продукт за месячную оплату и процент от прибыли.
Как не стать жертвой шифровальщика? Правила общие для всех:
- Хранить резервные копии там, куда не доберется злоумышленник.
- Регулярно обновлять антивирусное ПО.
- Проводить аудит безопасности, тестирования на проникновения.
- Оптимизировать работу средств защиты и мониторинга.
- При необходимости — обучать сотрудников противодействовать фишингу.
В целом, следить за состоянием дел с ИБ в компании. С чего начать? Попробовать самостоятельно оценить, как идут дела, риски и возможные убытки.
Кстати, со всем этим мы можем помочь. Причем дешевле и быстрее, чем большинство системных интеграторов, ведь мы работаем напрямую и с лучшими исполнителями.
Современная криптография — это довольно крутая штука, которая делает много чего полезного, например защищает почти все наши коммуникации и делает мир безопаснее. К сожалению, у всего есть обратная сторона — если ваш файл зашифровать и сделать всё по уму, то расшифровать его сможет только тот, кто зашифровал. Так и работают вымогатели — шифруют данные и требуют деньги за расшифровку и не публикацию их в сети.
Для понимания масштаба — ломают компании, которые занимаются кибербезопасностью (тут), военных (тут), подрядчиков АНБ, правительственные организации, короче вообще всех, кого получается. Шифрование данных и требование выкупа за расшифровку — одно из самых распространённых и прибыльных занятий для киберкриминала. В своё время Антон читал довольно подробную лекцию про рэнсом-индустрию для наших друзей, не связанных с IT/ИБ (тут).
На данный момент криминальная схема "вымогатель как услуга" (Ransomware-as-a-service) отлично отработана. Существуют разные группы: разработчики, которые создают саму вредоносную программу, которая сможет обходить антивирусные средства и осуществляют его "поддержку", модификацию. Распространители, которые занимаются "дистрибьюцией" и делят прибыль с создателями вируса. Владелец биткойн-кошельков/подставных счетов, который получает выкуп и свой процент от него. В общем, работает целая криминальная схема, конвейер криминального бизнес-процесса. Причем с одними разработчиками, или как их чаще называют "Партнерской программой" работает множество распространителей, фактически арендуя у них их продукт за месячную оплату и процент от прибыли.
Как не стать жертвой шифровальщика? Правила общие для всех:
- Хранить резервные копии там, куда не доберется злоумышленник.
- Регулярно обновлять антивирусное ПО.
- Проводить аудит безопасности, тестирования на проникновения.
- Оптимизировать работу средств защиты и мониторинга.
- При необходимости — обучать сотрудников противодействовать фишингу.
В целом, следить за состоянием дел с ИБ в компании. С чего начать? Попробовать самостоятельно оценить, как идут дела, риски и возможные убытки.
Кстати, со всем этим мы можем помочь. Причем дешевле и быстрее, чем большинство системных интеграторов, ведь мы работаем напрямую и с лучшими исполнителями.
Telegram
SecAtor
Blackcat (ALPHV) добавила MDaemon Technologies в список жертв. Компания разрабатывает средства киберзащиты и имеет доход в 78 млн. долларов.
Кроме того, вымогатели атаковали немецкую Döhler с доходом в 2 млрд. долларов.
Cuba положила целый город Шавиль.…
Кроме того, вымогатели атаковали немецкую Döhler с доходом в 2 млрд. долларов.
Cuba положила целый город Шавиль.…
Услуга: внешний директор по информационной безопасности
В каком случае она имеет смысл: вам нужен человек, который будет следить за информационной безопасностью в компании, но нет возможности\желания брать этого человека в штат.
Сколько это стоит: зависит от занятости привлеченного эксперта. От 60 тысяч рублей при работе 6 часов в месяц до 200-250 тысяч рублей за 20 часов в месяц.
Что вы получаете: профессионала, который сопровождает вас, погружен в детали вашего бизнеса, будет с вами достаточно долго, сколько вам необходимо, занимается вашими проблемами, отвечает на вопросы и помогает "сделать хорошо". По-сути, вы получаете экспертизу для владельцев бизнеса, ваших партнёров и менеджемента.
Что важно понимать: эксперт — это именно консультант и менеджер. Он может качественно разобраться в ситуации и дать рекомендации, управлять проектами, но он не будет решать проблемы "руками" просто потому, что большинство такого задач требуют существенно больше времени и их решение в формате внешнего директора по ИБ не оптимально. Будет ощутимо проще, быстрее и дешевле решать конкретные проблемы в рамках отдельных проектов.
#3side_услуги
В каком случае она имеет смысл: вам нужен человек, который будет следить за информационной безопасностью в компании, но нет возможности\желания брать этого человека в штат.
Сколько это стоит: зависит от занятости привлеченного эксперта. От 60 тысяч рублей при работе 6 часов в месяц до 200-250 тысяч рублей за 20 часов в месяц.
Что вы получаете: профессионала, который сопровождает вас, погружен в детали вашего бизнеса, будет с вами достаточно долго, сколько вам необходимо, занимается вашими проблемами, отвечает на вопросы и помогает "сделать хорошо". По-сути, вы получаете экспертизу для владельцев бизнеса, ваших партнёров и менеджемента.
Что важно понимать: эксперт — это именно консультант и менеджер. Он может качественно разобраться в ситуации и дать рекомендации, управлять проектами, но он не будет решать проблемы "руками" просто потому, что большинство такого задач требуют существенно больше времени и их решение в формате внешнего директора по ИБ не оптимально. Будет ощутимо проще, быстрее и дешевле решать конкретные проблемы в рамках отдельных проектов.
#3side_услуги
«В России впервые осудили человека за использование VPN»
Так написал канал Некасперский. Звучит очень хайпово, ну а я побуду скептиком и не соглашусь.
Что написано на сайте суда (который выглядит как из 2000ых), на который и ссылается пост?
Цитата «осуществил поиск вредоносной компьютерной программы, выражающейся в невозможности однозначной идентификации пользователя сети «Интернет» и его сетевой активности, в том числе провайдером, предоставляющим доступ к сети «Интернет» и заведомо для него предназначенной для нейтрализации средств защиты компьютерной информации провайдеров, направленных на однозначную идентификацию пользователя в сети «Интернет».»
Что тут главное? Это ПО не дает осуществить идентификацию пользователя. И ПО вредоносное.
Но подождите, почему провайдер не мог осуществить идентификацию пользователя? Есть ведь договор, и не важно какой траффик идет от пользователя зашифрованный или нет, или чем он зашифрован TLS или одним из VPN-решений.
Мне кажется, под эту формулировку идеально ложится выходной узел TOR (мы о нем писали тут). То есть пользователь позволял через свой компьютер выходить в Интернет кому угодно из пользователей ТОРа.
Список таких выходных узлов известен и публичен. Возможно, через этот узел были совершены какие-либо атаки, поэтому и пришли правоохранители. Но доказательств проведения атаки именно с этого компьютера не нашли, квалификации владельца явно не позволяла его обвинить, поэтому и притянули к 273 статье за выходной узел ТОР, чтоб неповадно было.
Но чтобы подтвердить или опровергнуть эту гипотезу, необходимо ознакомиться с самим делом.
Мне кажется, она более вероятна, чем «Осудили за использование VPN».
К слову, при обычном использовании ТОРа, вы не будете выходным узлом и не понесете таких рисков. Чтоб им стать нужно сознательно изменить настройки.
Так написал канал Некасперский. Звучит очень хайпово, ну а я побуду скептиком и не соглашусь.
Что написано на сайте суда (который выглядит как из 2000ых), на который и ссылается пост?
Цитата «осуществил поиск вредоносной компьютерной программы, выражающейся в невозможности однозначной идентификации пользователя сети «Интернет» и его сетевой активности, в том числе провайдером, предоставляющим доступ к сети «Интернет» и заведомо для него предназначенной для нейтрализации средств защиты компьютерной информации провайдеров, направленных на однозначную идентификацию пользователя в сети «Интернет».»
Что тут главное? Это ПО не дает осуществить идентификацию пользователя. И ПО вредоносное.
Но подождите, почему провайдер не мог осуществить идентификацию пользователя? Есть ведь договор, и не важно какой траффик идет от пользователя зашифрованный или нет, или чем он зашифрован TLS или одним из VPN-решений.
Мне кажется, под эту формулировку идеально ложится выходной узел TOR (мы о нем писали тут). То есть пользователь позволял через свой компьютер выходить в Интернет кому угодно из пользователей ТОРа.
Список таких выходных узлов известен и публичен. Возможно, через этот узел были совершены какие-либо атаки, поэтому и пришли правоохранители. Но доказательств проведения атаки именно с этого компьютера не нашли, квалификации владельца явно не позволяла его обвинить, поэтому и притянули к 273 статье за выходной узел ТОР, чтоб неповадно было.
Но чтобы подтвердить или опровергнуть эту гипотезу, необходимо ознакомиться с самим делом.
Мне кажется, она более вероятна, чем «Осудили за использование VPN».
К слову, при обычном использовании ТОРа, вы не будете выходным узлом и не понесете таких рисков. Чтоб им стать нужно сознательно изменить настройки.
Telegram
НеКасперский
В России впервые осудили человека за использование VPN
Томский суд приговорил гражданина К. к 3-м годам ограничения свободы за использование VPN. Его действия квалифицировали по статье 273 УК РФ.
Получается, прецедент создан. Вы там, сидя у себя в квартире…
Томский суд приговорил гражданина К. к 3-м годам ограничения свободы за использование VPN. Его действия квалифицировали по статье 273 УК РФ.
Получается, прецедент создан. Вы там, сидя у себя в квартире…
Скепсис мы включили правильно, но не в ту строну! Все оказалось прозаичнее, координация "закладчиков", сотрудничество, сделка со следствием и более "мягкий" приговор по 273 статье, чем за наркотики. В вредоносным ПО оказался мессенджер VIPole часто пользующийся популярностью в наркобизнесе.
А не "Осудили за VPN".
Пример похожего дела цитирует CatNews.
А не "Осудили за VPN".
Пример похожего дела цитирует CatNews.
Telegram
CatNews
По этой новости есть уточнение и история на самом деле прозаичная. Скорее всего парень был координатором закладчиков и в защищённом шифрованием мессенджере хранил переписку. Как пример аналогичный случай:
"Не позднее 2 марта 2017 года Борисенко Е.В. из…
"Не позднее 2 марта 2017 года Борисенко Е.В. из…
"Так безопасно?" №4: Возможно ли взломать IPhone?
Возможно, ведь возможно взломать все, в теории.
А на практике, есть множество нюансов, упрощающих или усложняющих взлом, и разные модели злоумышленника.
Ну и мы умышленно не будем обсуждать тут возможности терморектального криптоанализа.
1. Кто будет взламывать ваш айфон? Сотрудник силовых структур какой-либо страны или киберкриминал?
Физический доступ к устройству у злоумышленника будет?
Силовые структуры, например, западных стран используют услуги дорогих подрядчиков для извлечения данных с айфонов захваченных ими террористов, оплачивая чеки в сотни тысяч долларов. В первую очередь в таких американских компаниях как Grayshift и самой известной фирме по криминалистике из Израиля Cellebrite. Grayshift, например, утверждает, что ей под силу взломать защиту любых версий и моделей айфон и андроид, при наличии физического доступа к устройству. За какое время? Есть ли нюансы в зависимости от настроек безопасности? Не уточняют. Думаю, нюансы есть и тут.
Также у силовых структур есть возможность получить все, что вы храните в ICloud по судебному запросу, но не доступ к устройству, как бы они этого ни хотели.
2. Если физического доступа к устройству нет? Тогда все гораздо сложнее. Защита айфона постоянно совершенствуется, это единый стандартизированный продукт с постоянными исследованиями безопасности. И что самое важное с разделением приложений на собственные "песочницы". То есть, каждое приложение на вашем айфоне не может влиять на работу других приложений, они находятся в виртуальном пузыре доступов и данных, и любые прием-передача идут через интерфейсы операционной системы. Такая модель значительно повышает устойчивость всего устройства ко взлому. Пример, у вас есть новая еще не известная разработчику уязвимость в WhatsApp, которая позволяет взломать приложение-мессенжер на IOS, но даже взломав само приложение, вы увидите лишь данные этого приложения и доступные ему. Но не сможете повлиять на прочие приложения, чтобы выйти на уровень "выше" уже на уровень самой операционной системы вам нужны другие уязвимости. Сейчас за цепочку уязвимостей в IOS позволяющую взломать саму ОС и закрепиться в ней (заразить телефон) биржа Zerodium платит 2 миллиона долларов.
Поэтому удаленный взлом телефона актуального (обновляющегося) телефона с последними установленными обновлениями ОС и приложений - крайне маловероятен. Успеха в подобном несколько раз достигало лишь высокотехнологичное spyware, такое как Pegasus. Его использование стоило дорого и применялось оно против очень важных/заметных персон, но о нем мы еще напишем.
3. Вирус в магазине приложений? Для айфонов это не такая актуальная проблема. Изоляция приложений высокая, поэтому монетизировать подобный вирус сложно. А усилий приложить, чтобы вирус поместить в AppStore нужно действительно много, оно не окупится. Да и доля рынка айфонов ниже, чем Андроид, удобнее зарабатывать не на яблоках.
Итог. Современные смартфоны уже из коробки серьезно защищены. Они проектировались уже с расчётом на безопасность. Да в них постоянно находят уязвимости и их исправляют, но актуальный и обновленный айфон с обновленными приложениями взломать очень сложно и дорого. Если же он у злоумышленников в руках, многое будет зависеть от ваших настроек безопасности и их бюджетов.
Рекомендуем владельцам айфонов:
- Своевременно обновлять устройство и приложения.
- Не ставить FaceID/TouchID на разблокировку.
- Не хранить лишнего в ICloud.
- Поставить на учетную запись Apple/резервные копии сложные и уникальные пароли.
#3side_так_безопасно
Возможно, ведь возможно взломать все, в теории.
А на практике, есть множество нюансов, упрощающих или усложняющих взлом, и разные модели злоумышленника.
Ну и мы умышленно не будем обсуждать тут возможности терморектального криптоанализа.
1. Кто будет взламывать ваш айфон? Сотрудник силовых структур какой-либо страны или киберкриминал?
Физический доступ к устройству у злоумышленника будет?
Силовые структуры, например, западных стран используют услуги дорогих подрядчиков для извлечения данных с айфонов захваченных ими террористов, оплачивая чеки в сотни тысяч долларов. В первую очередь в таких американских компаниях как Grayshift и самой известной фирме по криминалистике из Израиля Cellebrite. Grayshift, например, утверждает, что ей под силу взломать защиту любых версий и моделей айфон и андроид, при наличии физического доступа к устройству. За какое время? Есть ли нюансы в зависимости от настроек безопасности? Не уточняют. Думаю, нюансы есть и тут.
Также у силовых структур есть возможность получить все, что вы храните в ICloud по судебному запросу, но не доступ к устройству, как бы они этого ни хотели.
2. Если физического доступа к устройству нет? Тогда все гораздо сложнее. Защита айфона постоянно совершенствуется, это единый стандартизированный продукт с постоянными исследованиями безопасности. И что самое важное с разделением приложений на собственные "песочницы". То есть, каждое приложение на вашем айфоне не может влиять на работу других приложений, они находятся в виртуальном пузыре доступов и данных, и любые прием-передача идут через интерфейсы операционной системы. Такая модель значительно повышает устойчивость всего устройства ко взлому. Пример, у вас есть новая еще не известная разработчику уязвимость в WhatsApp, которая позволяет взломать приложение-мессенжер на IOS, но даже взломав само приложение, вы увидите лишь данные этого приложения и доступные ему. Но не сможете повлиять на прочие приложения, чтобы выйти на уровень "выше" уже на уровень самой операционной системы вам нужны другие уязвимости. Сейчас за цепочку уязвимостей в IOS позволяющую взломать саму ОС и закрепиться в ней (заразить телефон) биржа Zerodium платит 2 миллиона долларов.
Поэтому удаленный взлом телефона актуального (обновляющегося) телефона с последними установленными обновлениями ОС и приложений - крайне маловероятен. Успеха в подобном несколько раз достигало лишь высокотехнологичное spyware, такое как Pegasus. Его использование стоило дорого и применялось оно против очень важных/заметных персон, но о нем мы еще напишем.
3. Вирус в магазине приложений? Для айфонов это не такая актуальная проблема. Изоляция приложений высокая, поэтому монетизировать подобный вирус сложно. А усилий приложить, чтобы вирус поместить в AppStore нужно действительно много, оно не окупится. Да и доля рынка айфонов ниже, чем Андроид, удобнее зарабатывать не на яблоках.
Итог. Современные смартфоны уже из коробки серьезно защищены. Они проектировались уже с расчётом на безопасность. Да в них постоянно находят уязвимости и их исправляют, но актуальный и обновленный айфон с обновленными приложениями взломать очень сложно и дорого. Если же он у злоумышленников в руках, многое будет зависеть от ваших настроек безопасности и их бюджетов.
Рекомендуем владельцам айфонов:
- Своевременно обновлять устройство и приложения.
- Не ставить FaceID/TouchID на разблокировку.
- Не хранить лишнего в ICloud.
- Поставить на учетную запись Apple/резервные копии сложные и уникальные пароли.
#3side_так_безопасно
"Частная шпионская компания" — как продавать софт для нелегальной слежки половине мира и сделать на этом бизнес?
NSO Group - израильский стартап, основанный в 2010 году в прекрасном курортном городке Герцлия. Нанимая выходцев из израильской спецслужбы "Unit 8200", им удалось к 2016 году создать лучший известный инструмент для взлома смартфонов - троян Pegasus. И зарабатывать на его продаже сотни миллионов долларов в год.
По словам создателей, Pegasus поставлялся только официальным властям стран для "помощи в борьбе с терроризмом и преступностью". Фактически же его использовали и для слежки за оппозиционными журналистами, разведки, вмешательства в работу сотрудников правозащитных организаций и просто слежки за гражданами.
Израиль однозначное классифицировал Pegasus как оружие, и правительство одобряло каждую сделку по продаже софта. Одобрение на продажу кибероружия было получено для множества стран, но интересно, что Эстонии и Украине было отказано в покупке, в первую очередь из-за опасений, что целью станет Россия.
Список клиентов NSO Group успешно пользовавшихся шпионским ПО:
- Правительство Бахрейна
- Правительство Джибути
- Федеральное управление уголовной полиции Германии
- Правительство Венгрии
- Израильское правительство и полиция
- Правительство Мексики (первый клиент)
- Правительство Марокко
- Правительство Панамы
- Правительство Польши
- Руководство Саудовской Аравии
- Правительство Испании
- Руководство ОАЭ
- Множественные ведомства США
Также есть подозрения, что множество государств тоже использовали Pegasus, но подтверждения этому так и не были обнародованы. В 2021 году журналистам удалось получить список из 50 000 телефонных номеров, которые были загружены в систему как "потенциальные цели". Среди них оказались телефоны президентов и чиновников множества государств, включая государств-клиентов NSO Group, журналисты, правозащитники и бизнесмены. И это только те, кого удалось идентифицировать. Также Pegasus был замешен в скандале внутри самого Израиля, он без ордера или судебного надзора использовался для слежки за гражданами полицией и другими ведомствами страны.
Фактически под прицелом NSO Group мог оказаться любой телефон. Известно о тысячах случаев заражения. Случались и скандалы со злоупотреблением внутри компании, один сотрудник был пойман при попытке продать нелегальную копию софта на черном рынке. Другой же пойман при попытке внедрить троян на телефон своей любовницы. Троян даже был обнаружен на телефоне богатейшего на тот момент человека в мире - Джеффа Безоса.
Как же работал Pegasus? Первая обнаруженная версия 2016 года использовала фишинговую рассылку и получала доступ к телефону жертвы после перехода по вредоносной ссылке (1click -уязвимость). При этом троян работал на любых операционных системах. Версия 2019 года уже использовала уязвимости звонков WhatsApp, что позволяло взломать любой телефон одним звонком. Никаких кликов и действий от пользователя не требовалось (0click-уязвимость). Также в 2019 году было замечено распространение трояна через уязвимости в IMessage для IPhone, также без действий пользователей (0click-уязвимость).
Но самое любопытное то, что троян полноценно заражал телефон, закреплялся в системе с максимальными правами. Таким образом он мог получить доступ к любым данным, хранящимся в телефоне, приложений, камере, микрофону и прочему абсолютно незаметно для пользователя! Для поднятия привилегий до максимального уровня в каждой атаке использовалось несколько уязвимостей нулевого дня для каждой операционной системы.
Но огласка сделала свое дело. К NSO Group были выдвинуты судебные иски от WhatsApp и Apple, одно время деятельность компании даже была запрещена в США, инвесторы устроили множественные перепродажи своих долей и в итоге компанию потрясла реорганизация. Сейчас статус компании не совсем ясен. Но месяц назад Джозеф Байден назначил в консультативный совет по разведке США Джереми Баша - бывшего ключевого советника NSO Group, ответственного за одобрение сделок компании в составе комитета по деловой этики.
У компании еще все впереди?
NSO Group - израильский стартап, основанный в 2010 году в прекрасном курортном городке Герцлия. Нанимая выходцев из израильской спецслужбы "Unit 8200", им удалось к 2016 году создать лучший известный инструмент для взлома смартфонов - троян Pegasus. И зарабатывать на его продаже сотни миллионов долларов в год.
По словам создателей, Pegasus поставлялся только официальным властям стран для "помощи в борьбе с терроризмом и преступностью". Фактически же его использовали и для слежки за оппозиционными журналистами, разведки, вмешательства в работу сотрудников правозащитных организаций и просто слежки за гражданами.
Израиль однозначное классифицировал Pegasus как оружие, и правительство одобряло каждую сделку по продаже софта. Одобрение на продажу кибероружия было получено для множества стран, но интересно, что Эстонии и Украине было отказано в покупке, в первую очередь из-за опасений, что целью станет Россия.
Список клиентов NSO Group успешно пользовавшихся шпионским ПО:
- Правительство Бахрейна
- Правительство Джибути
- Федеральное управление уголовной полиции Германии
- Правительство Венгрии
- Израильское правительство и полиция
- Правительство Мексики (первый клиент)
- Правительство Марокко
- Правительство Панамы
- Правительство Польши
- Руководство Саудовской Аравии
- Правительство Испании
- Руководство ОАЭ
- Множественные ведомства США
Также есть подозрения, что множество государств тоже использовали Pegasus, но подтверждения этому так и не были обнародованы. В 2021 году журналистам удалось получить список из 50 000 телефонных номеров, которые были загружены в систему как "потенциальные цели". Среди них оказались телефоны президентов и чиновников множества государств, включая государств-клиентов NSO Group, журналисты, правозащитники и бизнесмены. И это только те, кого удалось идентифицировать. Также Pegasus был замешен в скандале внутри самого Израиля, он без ордера или судебного надзора использовался для слежки за гражданами полицией и другими ведомствами страны.
Фактически под прицелом NSO Group мог оказаться любой телефон. Известно о тысячах случаев заражения. Случались и скандалы со злоупотреблением внутри компании, один сотрудник был пойман при попытке продать нелегальную копию софта на черном рынке. Другой же пойман при попытке внедрить троян на телефон своей любовницы. Троян даже был обнаружен на телефоне богатейшего на тот момент человека в мире - Джеффа Безоса.
Как же работал Pegasus? Первая обнаруженная версия 2016 года использовала фишинговую рассылку и получала доступ к телефону жертвы после перехода по вредоносной ссылке (1click -уязвимость). При этом троян работал на любых операционных системах. Версия 2019 года уже использовала уязвимости звонков WhatsApp, что позволяло взломать любой телефон одним звонком. Никаких кликов и действий от пользователя не требовалось (0click-уязвимость). Также в 2019 году было замечено распространение трояна через уязвимости в IMessage для IPhone, также без действий пользователей (0click-уязвимость).
Но самое любопытное то, что троян полноценно заражал телефон, закреплялся в системе с максимальными правами. Таким образом он мог получить доступ к любым данным, хранящимся в телефоне, приложений, камере, микрофону и прочему абсолютно незаметно для пользователя! Для поднятия привилегий до максимального уровня в каждой атаке использовалось несколько уязвимостей нулевого дня для каждой операционной системы.
Но огласка сделала свое дело. К NSO Group были выдвинуты судебные иски от WhatsApp и Apple, одно время деятельность компании даже была запрещена в США, инвесторы устроили множественные перепродажи своих долей и в итоге компанию потрясла реорганизация. Сейчас статус компании не совсем ясен. Но месяц назад Джозеф Байден назначил в консультативный совет по разведке США Джереми Баша - бывшего ключевого советника NSO Group, ответственного за одобрение сделок компании в составе комитета по деловой этики.
У компании еще все впереди?
Взлом спутников 24 февраля
Тут в октябре вышла интереснейшая публикация одного из университетов США, о том, каким образом возможно была проведена атака на клиентов спутникового интернета ViaSat. Я попробую простым языком и без политики объяснить вам, что там изложено.
До операции. В 2018 году известная компания-производитель ПО кибербезопасности Fortinet обнаружила в своих VPN-решениях уязвимость CVE-2018-13379. Fortinet FortiOS и FortiProxy позволяли с помощью корректно сконфигурированного элементарного запроса в виде:
В 2021 году в TOR появился русскоязычный сайт (картинка 1 следующего поста) со сливом около 500 000 комбинаций логин/пароль для примерно 13 000 устройств собранный через указанную уязвимость. Fortinet настойчиво рекомендовал проверить администраторов, нет ли их устройств в списке и сменить пароли, если они там оказались и все-таки не забыть обновиться.
Видимо тщетно.
24 февраля 2022. Используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей.
После развития атаки в сети управления спутниками, был получен и доступ к управлению зонами спутникового интернета. Интересовали их зоны указанные на картинке 2 следующего поста. Именно для этих зон, захватывающих в первую очередь территорию Украины и частично Германию был выставленный особый сигнал с передачей обновления ПО, стоит отметить, что зоны Германии предположительно были выставлены по ошибке.
Модемы же, к которым также был получен доступ через VPN, охотно скачали обновление. Обновление содержало вирус «AcidRain», удаляющий все данные с памяти модема и тем самым выводящий его из строя.
Итог. Вся картина атаки представлена на картинке 3 следующего поста. В целом цепочка выглядит вполне стройной и реалистичной, хоть и основана исключительно на данных из открытых источниках, что и отмечают авторы. С определенной долей вероятности взлом происходил именно так, состоялся из-за полного пренебрежения сотрудников компании к информационной безопасности. Уязвимость была стара, обновления были давно выпущены, и даже публичная утечка данных их не смутила.
А возможно использовались и другие уязвимости, но пока про них убедительных данных нет.
Американский источник тут.
Тут в октябре вышла интереснейшая публикация одного из университетов США, о том, каким образом возможно была проведена атака на клиентов спутникового интернета ViaSat. Я попробую простым языком и без политики объяснить вам, что там изложено.
До операции. В 2018 году известная компания-производитель ПО кибербезопасности Fortinet обнаружила в своих VPN-решениях уязвимость CVE-2018-13379. Fortinet FortiOS и FortiProxy позволяли с помощью корректно сконфигурированного элементарного запроса в виде:
curl -k https://10.1.1.1:10443//remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession --output -Скачать системные файлы устройства, без каких-либо ограничений. Уязвимости быстро нашли наиболее эффективное применение, злоумышленники стали выгружать список подключенных к VPN пользователей с их паролями в ОТКРЫТОМ виде из файла кэша SSL VPN. Fortinet оперативно выпустил обновления и настойчиво рекомендовал клиентам не только обновиться, но и поменять все пароли, т.к. использование уязвимости злоумышленниками в Интернете уже засекли.
В 2021 году в TOR появился русскоязычный сайт (картинка 1 следующего поста) со сливом около 500 000 комбинаций логин/пароль для примерно 13 000 устройств собранный через указанную уязвимость. Fortinet настойчиво рекомендовал проверить администраторов, нет ли их устройств в списке и сменить пароли, если они там оказались и все-таки не забыть обновиться.
Видимо тщетно.
24 февраля 2022. Используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей.
После развития атаки в сети управления спутниками, был получен и доступ к управлению зонами спутникового интернета. Интересовали их зоны указанные на картинке 2 следующего поста. Именно для этих зон, захватывающих в первую очередь территорию Украины и частично Германию был выставленный особый сигнал с передачей обновления ПО, стоит отметить, что зоны Германии предположительно были выставлены по ошибке.
Модемы же, к которым также был получен доступ через VPN, охотно скачали обновление. Обновление содержало вирус «AcidRain», удаляющий все данные с памяти модема и тем самым выводящий его из строя.
Итог. Вся картина атаки представлена на картинке 3 следующего поста. В целом цепочка выглядит вполне стройной и реалистичной, хоть и основана исключительно на данных из открытых источниках, что и отмечают авторы. С определенной долей вероятности взлом происходил именно так, состоялся из-за полного пренебрежения сотрудников компании к информационной безопасности. Уязвимость была стара, обновления были давно выпущены, и даже публичная утечка данных их не смутила.
А возможно использовались и другие уязвимости, но пока про них убедительных данных нет.
Американский источник тут.
This media is not supported in your browser
VIEW IN TELEGRAM
Побег из матрицы
На виртуальных машинах сейчас строится практически любая инфраструктура. Удобно засунуть кого-то приложение в виртуальную машину, чтобы в случае его взлома остальные приложения и сам сервер не были затронуты.
Но случаются и побеги из подобной «песочницы». Исследователь предоставил видео с запуском калькулятора ОСНОВНОЙ операционной системы прямо из виртуальной машины VMware! Нео очередной раз сбежал на уровень выше.
Это потенциально несет огромную угрозу безопасности, ведь, например, компьютерные вирусы изучаются изолированно с помощью виртуальных машин. И многие другие процессы опираются на то, что виртуальная машина никак не может повлиять на сам сервер. А без исправления это уже не так.
Всем пользователям ПО VMware приготовиться обновляться, ибо это очень критично. За подобные уязвимости платят сотни тысяч долларов, так что поздравим автора!
Подробности пока не опубликованы, идентификатор CVE тоже не присвоен, будем ждать их сразу после патча.
На виртуальных машинах сейчас строится практически любая инфраструктура. Удобно засунуть к
Но случаются и побеги из подобной «песочницы». Исследователь предоставил видео с запуском калькулятора ОСНОВНОЙ операционной системы прямо из виртуальной машины VMware! Нео очередной раз сбежал на уровень выше.
Это потенциально несет огромную угрозу безопасности, ведь, например, компьютерные вирусы изучаются изолированно с помощью виртуальных машин. И многие другие процессы опираются на то, что виртуальная машина никак не может повлиять на сам сервер. А без исправления это уже не так.
Всем пользователям ПО VMware приготовиться обновляться, ибо это очень критично. За подобные уязвимости платят сотни тысяч долларов, так что поздравим автора!
Подробности пока не опубликованы, идентификатор CVE тоже не присвоен, будем ждать их сразу после патча.
Джеймс Рейндж, президент White Rock Security Group
"Только в первом полугодии 2022 года число атак программ-вымогателей возросло на 288%."
Потрясающая статистика, конечно. И это только начало.
"Только в первом полугодии 2022 года число атак программ-вымогателей возросло на 288%."
Потрясающая статистика, конечно. И это только начало.
Всем привет!
Завтра Антон участвует в небольшом видео-интервью про OSINT, кто хочет — присоединяйтесь.
OSINT - поиск по открытым источникам, то есть с использованием привычной нам информации. Соцсетей, различных реестров, специальных сервисов и некоторых других утекших источников. При некотором умении и правильном подходе, при помощи OSINT можно получить ОЧЕНЬ много разной информации об интересующем объекте.
В общем, будем обсуждать, что именно изменилось в 2022 году в этой сфере, как искать и где искать даже без специальных навыков.
Завтра Антон участвует в небольшом видео-интервью про OSINT, кто хочет — присоединяйтесь.
OSINT - поиск по открытым источникам, то есть с использованием привычной нам информации. Соцсетей, различных реестров, специальных сервисов и некоторых других утекших источников. При некотором умении и правильном подходе, при помощи OSINT можно получить ОЧЕНЬ много разной информации об интересующем объекте.
В общем, будем обсуждать, что именно изменилось в 2022 году в этой сфере, как искать и где искать даже без специальных навыков.
Telegram
КОД ИБ: информационная безопасность
🔳 #ИБшныйДвиж с Антоном Бочкаревым, сооснователем компании «Третья сторона»
Тема: OSINT: Насколько стало легче искать людей в 2022 году
🗓 чт, 17 ноября, 10:00 (мск)
💻 онлайн, Телеграм-чат Codeibcommunity, без регистрации
OSINT (Open Source INTelligence)…
Тема: OSINT: Насколько стало легче искать людей в 2022 году
🗓 чт, 17 ноября, 10:00 (мск)
💻 онлайн, Телеграм-чат Codeibcommunity, без регистрации
OSINT (Open Source INTelligence)…
Услуга: базовый аудит информационной безопасности
В каком случае она имеет смысл: если вы раньше не занимались вопросами ИБ и не представляете, на сколько ваш бизнес уязвим.
Сколько это стоит: от 50 тысяч рублей, в зависимости от сложности структуры и глубины анализа
Что вы получаете: опытного аудитора, который внимательно оценит ситуацию с безопасностью в вашей компании и ваши риски, построит дорожную карту дальнейших работ и даст рекомендации, что можно улучшить.
Опираясь на отчет аудитора, вы сможете самостоятельно или при помощи сторонних специалистов выстроить дальнейшие планы.
#3side_услуги
В каком случае она имеет смысл: если вы раньше не занимались вопросами ИБ и не представляете, на сколько ваш бизнес уязвим.
Сколько это стоит: от 50 тысяч рублей, в зависимости от сложности структуры и глубины анализа
Что вы получаете: опытного аудитора, который внимательно оценит ситуацию с безопасностью в вашей компании и ваши риски, построит дорожную карту дальнейших работ и даст рекомендации, что можно улучшить.
Опираясь на отчет аудитора, вы сможете самостоятельно или при помощи сторонних специалистов выстроить дальнейшие планы.
#3side_услуги
Почему простые мошенничества тоже опасны
Один мой товарищ, мне рассказал о двух очень показательных историях с мошенничеством персонала. С подобным может столкнуться любой бизнес, совершенно в любой сфере.
Бензозаправка. Одинокая заправка на трассе с крайне ограниченным выходом в интернет. Бензин наливается, данные записываются в базу на сервер, который по совместительству - рабочее место оператора-кассира. Раз в несколько дней это уходит в головной офис по слабому интернету. Да база защищена паролем и работает под другим пользователем, да и знаете оператор-кассир, согласившийся работать в таком удаленном месте, живет тут в селе неподалеку. Он явно не хакер, что он может сделать?
А оказывается, может скрутить счетчик налитого бензина прямо в оперативной памяти, и этот бензин продать на сторону! Без знаний в IT? Чем и как? ArtMoney! Известная многим геймерам программа, которая позволяет накрутить себе денег в компьютерной игре. По факту она просто ищет нужные числа в памяти игры и меняет их. Так и делал оператор, просто менял количество налитого бензина, только не в игре, а в памяти базы данных. Сам он догадался или прочитал где-то, неизвестно. Поймали на сверке, но далеко не сразу, не могли понять, как он это делает.
Ресторан. У известной CRM для ресторанного бизнеса была проблема - возможность загрузившись с внешней флешки редактировать базу данных, она была не зашифрована. Ну и что? Официанты же и менеджеры не хакеры! А им и не надо ими быть, ведь на мошеннических форумах активно и недорого продавалась инструкция по обогащению с помощью этой уязвимости. Часть персонала ресторана, обладая минимальными техническими знаниями, в течение дня записывали солидную часть заказов на определённый стол. А вечером после ухода управляющей просто-напросто "обнуляли" этот стол в базе данных и перепечатывали чеки, забирая всю выручку с этого стола. Все по инструкции, работали так более полугода. Вскрылось это случайно, благодаря установке системы электронных чеков, о которой сотрудники не подумали. Подтвердили камерами. Прибыль ресторана, после увольнения участников, увеличилась вдвое, ведь эта схема в месяц приносила сотни тысяч рублей.
Противодействие мошенничеству со стороны клиентов/сотрудников/партнеров важная часть безопасности любого бизнеса. Важно анализировать бизнес-процессы, предотвращать появление подобных схем и выявлять уже действующие.
В целом, этим возможно заниматься и самостоятельно, но гораздо проще и эффективнее обратиться к профессионалам. Через нас это получится, скорее всего и дешевле.
Один мой товарищ, мне рассказал о двух очень показательных историях с мошенничеством персонала. С подобным может столкнуться любой бизнес, совершенно в любой сфере.
Бензозаправка. Одинокая заправка на трассе с крайне ограниченным выходом в интернет. Бензин наливается, данные записываются в базу на сервер, который по совместительству - рабочее место оператора-кассира. Раз в несколько дней это уходит в головной офис по слабому интернету. Да база защищена паролем и работает под другим пользователем, да и знаете оператор-кассир, согласившийся работать в таком удаленном месте, живет тут в селе неподалеку. Он явно не хакер, что он может сделать?
А оказывается, может скрутить счетчик налитого бензина прямо в оперативной памяти, и этот бензин продать на сторону! Без знаний в IT? Чем и как? ArtMoney! Известная многим геймерам программа, которая позволяет накрутить себе денег в компьютерной игре. По факту она просто ищет нужные числа в памяти игры и меняет их. Так и делал оператор, просто менял количество налитого бензина, только не в игре, а в памяти базы данных. Сам он догадался или прочитал где-то, неизвестно. Поймали на сверке, но далеко не сразу, не могли понять, как он это делает.
Ресторан. У известной CRM для ресторанного бизнеса была проблема - возможность загрузившись с внешней флешки редактировать базу данных, она была не зашифрована. Ну и что? Официанты же и менеджеры не хакеры! А им и не надо ими быть, ведь на мошеннических форумах активно и недорого продавалась инструкция по обогащению с помощью этой уязвимости. Часть персонала ресторана, обладая минимальными техническими знаниями, в течение дня записывали солидную часть заказов на определённый стол. А вечером после ухода управляющей просто-напросто "обнуляли" этот стол в базе данных и перепечатывали чеки, забирая всю выручку с этого стола. Все по инструкции, работали так более полугода. Вскрылось это случайно, благодаря установке системы электронных чеков, о которой сотрудники не подумали. Подтвердили камерами. Прибыль ресторана, после увольнения участников, увеличилась вдвое, ведь эта схема в месяц приносила сотни тысяч рублей.
Противодействие мошенничеству со стороны клиентов/сотрудников/партнеров важная часть безопасности любого бизнеса. Важно анализировать бизнес-процессы, предотвращать появление подобных схем и выявлять уже действующие.
В целом, этим возможно заниматься и самостоятельно, но гораздо проще и эффективнее обратиться к профессионалам. Через нас это получится, скорее всего и дешевле.
