Утечка из InfraGard
InfraGard - доверенная сеть обмена данными о киберугрозах от ФБР между частными, но критически важными стране компаниями. К ней получили доступ, собрали данные участников и базу сейчас продают за $50 000. Для одной только регистрации в сети, необходимо было пройти проверку ФБР.
Как утекло? Подали заявку на доступ по украденным документам исполнительного директора одной фирмы из программ-участников. А генеральному директору компании, от которой подавали заявку, ФБР звонить не стали. Проверили видимо только документы на валидность.
Выводы:
- Даже у ФБР бывают проблемы с безопасностью и откровенная халтура.
- Утечка личных документов топ менеджмента могут нести угрозу компании и ее партнерам.
Подробности читайте у легендарного Брайана Кребса тут
InfraGard - доверенная сеть обмена данными о киберугрозах от ФБР между частными, но критически важными стране компаниями. К ней получили доступ, собрали данные участников и базу сейчас продают за $50 000. Для одной только регистрации в сети, необходимо было пройти проверку ФБР.
Как утекло? Подали заявку на доступ по украденным документам исполнительного директора одной фирмы из программ-участников. А генеральному директору компании, от которой подавали заявку, ФБР звонить не стали. Проверили видимо только документы на валидность.
Выводы:
- Даже у ФБР бывают проблемы с безопасностью и откровенная халтура.
- Утечка личных документов топ менеджмента могут нести угрозу компании и ее партнерам.
Подробности читайте у легендарного Брайана Кребса тут
Krebs on Security
FBI’s Vetted Info Sharing Network ‘InfraGard’ Hacked
InfraGard, a program run by the U.S. Federal Bureau of Investigation (FBI) to build cyber and physical threat information sharing partnerships with the private sector, this week saw its database of contact information on more than 80,000 members go up…
This media is not supported in your browser
VIEW IN TELEGRAM
Срочно проверьте обновления Windows!
Это не учебная тревога. Обновление безопасности от 13 сентября, должно быть установлено у всех, иначе вы в серьезной опасности.
Исправленная в сентябре уязвимость в SPNEGO NEGOEX (CVE-2022-37958), сегодня была оценена Майкрософт как «критическая». Ведь она позволяет злоумышленникам удаленно выполнить код используя любой из протоколов, где используется механизм SPNEGO, к примеру:
- RDP
- SMB
- SMTP
- HTTP
Ведь в каждом из них SPNEGO включен по умолчанию, начиная с Windows 7. Значит каждая система без обновлений безопасности по умолчанию становится уязвима для целого набора векторов атак! Печально известный WannaCry использовал уязвимость только одного протокола – SMB, и мы помним к чему это привело. А тут уязвимых протоколов как минимум 4.
Предыдущая оценка уязвимости, судя по всему, была «прикрытием», чтобы не привлекать внимание злоумышленников к изучению уязвимости до массовой установки обновлений. Теперь, когда это раскрыто, ожидаем волну атак.
Рекомендации:
- Проверить/установить обновления безопасности от 13 сентября 2022г.
- Непрерывный мониторинг внешнего периметра, особенно веб-сервера IIS.
- Если обновления установить невозможно, то в качестве компенсирующей меры можно выставить провайдеры аутентификации(authentication providers) в настройках Windows в "Kerberos" или "Net-NTLM" и удалить "Negotiate" из провайдеров по умолчанию.
С уважением отметим, что уязвимость обнаружила Valentina Palmiotti. От нее же видео с эксплуатацией.
Это не учебная тревога. Обновление безопасности от 13 сентября, должно быть установлено у всех, иначе вы в серьезной опасности.
Исправленная в сентябре уязвимость в SPNEGO NEGOEX (CVE-2022-37958), сегодня была оценена Майкрософт как «критическая». Ведь она позволяет злоумышленникам удаленно выполнить код используя любой из протоколов, где используется механизм SPNEGO, к примеру:
- RDP
- SMB
- SMTP
- HTTP
Ведь в каждом из них SPNEGO включен по умолчанию, начиная с Windows 7. Значит каждая система без обновлений безопасности по умолчанию становится уязвима для целого набора векторов атак! Печально известный WannaCry использовал уязвимость только одного протокола – SMB, и мы помним к чему это привело. А тут уязвимых протоколов как минимум 4.
Предыдущая оценка уязвимости, судя по всему, была «прикрытием», чтобы не привлекать внимание злоумышленников к изучению уязвимости до массовой установки обновлений. Теперь, когда это раскрыто, ожидаем волну атак.
Рекомендации:
- Проверить/установить обновления безопасности от 13 сентября 2022г.
- Непрерывный мониторинг внешнего периметра, особенно веб-сервера IIS.
- Если обновления установить невозможно, то в качестве компенсирующей меры можно выставить провайдеры аутентификации(authentication providers) в настройках Windows в "Kerberos" или "Net-NTLM" и удалить "Negotiate" из провайдеров по умолчанию.
С уважением отметим, что уязвимость обнаружила Valentina Palmiotti. От нее же видео с эксплуатацией.
Кибербезопасность для 3.0 и cryptoфаундеров
Концепция 3.0 строится на том, что всё будет правильно функционировать. Блокчейн, смарт-контракты, nft и вот это всё - это прекрасно, если они работают. Но проблема в том, что если ты даже создал математически безупречную идею, которая на текущих мощностях прекрасна - нет никаких гарантий, что так будет всегда.
Написали обзорную статью о том, почему ИБ всегда будет актуально для практически любых технологичных проектов в крипте\3.0 и вспомнили несколько самых известных случаев такого рода проблем. На удивление, значительная часть из них — это совершенно типичные для ИБ случаи, к крипте прямого отношения не имеющие. Мораль: оценивайте риски правильно и смотрите на состояние своей инфраструктуры.
https://telegra.ph/Kiberbezopasnost-dlya-30-i-cryptofaunderov-12-15
Концепция 3.0 строится на том, что всё будет правильно функционировать. Блокчейн, смарт-контракты, nft и вот это всё - это прекрасно, если они работают. Но проблема в том, что если ты даже создал математически безупречную идею, которая на текущих мощностях прекрасна - нет никаких гарантий, что так будет всегда.
Написали обзорную статью о том, почему ИБ всегда будет актуально для практически любых технологичных проектов в крипте\3.0 и вспомнили несколько самых известных случаев такого рода проблем. На удивление, значительная часть из них — это совершенно типичные для ИБ случаи, к крипте прямого отношения не имеющие. Мораль: оценивайте риски правильно и смотрите на состояние своей инфраструктуры.
https://telegra.ph/Kiberbezopasnost-dlya-30-i-cryptofaunderov-12-15
Telegraph
Кибербезопасность для 3.0 и cryptoфаундеров
Наш канал - https://t.iss.one/By3side Наш сайт - 3side.org Концепция web 3.0 (https://en.wikipedia.org/wiki/Web3) - это концепция децентрализованной “сети равных”, и многие видят в ней будущее. Децентрализованное, с блокчейном и токенизацией. В том или ином виде…
Тем временем, Антон выступил на КОД ИБ: Итоги.
Чудесное мероприятие, были рады всех увидеть вживую. Рассказали про "Фокусы при пентестах в современных условиях" и подвели некоторые итоги на дискуссионной сессии с Лукой Сафоновым и Ильей Сафроновым.
О том, что будет с рынком ИБ в новом году и куда катится мир кибербеза по нашему мнению, мы расскажем отдельным постом, а пока — просто фоточки!
Чудесное мероприятие, были рады всех увидеть вживую. Рассказали про "Фокусы при пентестах в современных условиях" и подвели некоторые итоги на дискуссионной сессии с Лукой Сафоновым и Ильей Сафроновым.
О том, что будет с рынком ИБ в новом году и куда катится мир кибербеза по нашему мнению, мы расскажем отдельным постом, а пока — просто фоточки!
Это ровно то, о чем мы и говорили. Для крипто-индустрии актуальны те же проблемы, те же вектора атак, а самое главное — те же способы защиты, что и для любой другой.
Telegram
Anti-Malware
Криптобиржа Gemini предупредила клиентов о фишинговых рассылках: злоумышленники используют адреса, которые, предположительно, были украдены в ходе хакерской атаки на одного из субподрядчиков.
Слив данных из изолированной сети
Не для кого не секрет, что заражать изолированные от Интернета сети вполне возможно. Широко известный вирус StuxNet показал это ещё в 2010 году, заразив сначала подрядчиков через Интернет, а через их устройства попал на завод по обогащению урана.
Но одно дело автономный вирус для диверсии, а как украсть данные из изолированной "воздушным зазором" сети?
Вашему вниманию представляется новая крутая технология слива данных от университета Бен-Гуриона! Назвали ее хайпово "COVID-bit". Работает она следующим образом, в современных компьютерах работа процессора очень плотно связана с энергопотреблением, и регулируя нагрузку процессора можно влиять на процесс переключения так называемого импульсного источника питания (SMPS). А он в свою очередь фонит как минимум на 2 метра своим электромагнитным полем.
Троян может контролировать этот процесс даже без высоких привилегий и даже внутри виртуальной машины. А электромагнитным полем он может передавать данные, например нажатия клавиш, в режиме реального времени! А чтобы этот сигнал принять нужен всего лишь смартфон/ноутбук и подключенная к ним мини-антенна за $1.
В результате данные с полностью изолированного компьютера утекают за стену, пример на видео.
Как защищаться от подобного?
- Мониторить аномальные процессы.
- Мониторить/глушение электромагнитных сигналов.
- Генерация случайных нагрузок на процессор.
Ну и лучше всего не ссориться с Израилем.
Не для кого не секрет, что заражать изолированные от Интернета сети вполне возможно. Широко известный вирус StuxNet показал это ещё в 2010 году, заразив сначала подрядчиков через Интернет, а через их устройства попал на завод по обогащению урана.
Но одно дело автономный вирус для диверсии, а как украсть данные из изолированной "воздушным зазором" сети?
Вашему вниманию представляется новая крутая технология слива данных от университета Бен-Гуриона! Назвали ее хайпово "COVID-bit". Работает она следующим образом, в современных компьютерах работа процессора очень плотно связана с энергопотреблением, и регулируя нагрузку процессора можно влиять на процесс переключения так называемого импульсного источника питания (SMPS). А он в свою очередь фонит как минимум на 2 метра своим электромагнитным полем.
Троян может контролировать этот процесс даже без высоких привилегий и даже внутри виртуальной машины. А электромагнитным полем он может передавать данные, например нажатия клавиш, в режиме реального времени! А чтобы этот сигнал принять нужен всего лишь смартфон/ноутбук и подключенная к ним мини-антенна за $1.
В результате данные с полностью изолированного компьютера утекают за стену, пример на видео.
Как защищаться от подобного?
- Мониторить аномальные процессы.
- Мониторить/глушение электромагнитных сигналов.
- Генерация случайных нагрузок на процессор.
Ну и лучше всего не ссориться с Израилем.
Третья_Сторона_Кибербезопасность_Продукты.pdf
303.6 KB
Наши продукты и презентация
Нас тут пару раз просили прислать презентацию про нас и схему работы, тем более что для российского рынка она достаточно новая. А заодно описание того, какие проблемы мы умеем решать.
Как говорится, презентация во вложении. Будут вопросы - пишите)
Нас тут пару раз просили прислать презентацию про нас и схему работы, тем более что для российского рынка она достаточно новая. А заодно описание того, какие проблемы мы умеем решать.
Как говорится, презентация во вложении. Будут вопросы - пишите)
Как люди оказываются в ИБ, становятся "белыми хакерами" и основывают 3side?
Немного личного в корпоративном канале: разговорыНЕпроИБ тут сделали замечательное интервью с Антоном. Там много всего — о жизни, о профессии и о том, как мы создавали 3side.
И, конечно, о замечательном российском ИБ сообществе — тех людях, которые нас окружают и для которых (и вместе с которыми) мы делаем этот проект.
Немного личного в корпоративном канале: разговорыНЕпроИБ тут сделали замечательное интервью с Антоном. Там много всего — о жизни, о профессии и о том, как мы создавали 3side.
И, конечно, о замечательном российском ИБ сообществе — тех людях, которые нас окружают и для которых (и вместе с которыми) мы делаем этот проект.
YouTube
РазговорыНЕпроИБ: Антон Бочкарев, Третья сторона
Гостем шестьдесят девятого выпуска проекта #разговорыНЕпроИБ стал Антон Бочкарев, сооснователь компании Третья сторона
Приятного просмотра.
👉 Подробнее о компании Третья сторона: https://3side.org/
👉 Смотри прямые эфиры разговоровНЕпроИБ в ВКонтакте:…
Приятного просмотра.
👉 Подробнее о компании Третья сторона: https://3side.org/
👉 Смотри прямые эфиры разговоровНЕпроИБ в ВКонтакте:…
Мы тут с удивлением обнаружили, что наша услуга стороннего ИБ директора (ранее писали о нем тут) оказалась более популярной, чем мы сами ожидали. Рассказываем о нашем опыте в этом вопросе.
Как правило, к нам приходили 2 типа запросов — или "у нас есть ИБ функция, но нужен квалифицированный и постоянный взгляд на неё", или "ИБ функции нет, проблемы есть, нужно сделать ряд улучшений". Причем во втором случае приходят с уже случившимися инцидентами, а в первом — в рамках постоянной работы над управлением рисками в компании.
На наш взгляд, идеальная ситуация — это когда на рынке останется только первый вариант. Мы прекрасно осознаем, что расходы на действительно качественного специалиста в штате будут в районе 400+ тысяч в месяц с учетом всех налогов. Есть разные способы сократить эту сумму, но сделать это прямо в разы без потери качества сложно. При этом зачастую постоянной и полноценной загрузки для такого человека чисто физически нет — в большинстве случаев у малого и среднего, да и нередко для крупного бизнеса просто нет такого количества задач. Ну не нужен им CISO на полный день.
Так что сторонний профессионал с большим опытом, который изначально будет работать на part time, зная вашу инфраструктуру, ваши проблемы и ваши задачи — это часто лучший вариант. Но если у вас серьёзный IT-бизнес или много сложной инфраструктуры — возьмите человека в штат. В итоге, выйдет дешевле.(
Как правило, к нам приходили 2 типа запросов — или "у нас есть ИБ функция, но нужен квалифицированный и постоянный взгляд на неё", или "ИБ функции нет, проблемы есть, нужно сделать ряд улучшений". Причем во втором случае приходят с уже случившимися инцидентами, а в первом — в рамках постоянной работы над управлением рисками в компании.
На наш взгляд, идеальная ситуация — это когда на рынке останется только первый вариант. Мы прекрасно осознаем, что расходы на действительно качественного специалиста в штате будут в районе 400+ тысяч в месяц с учетом всех налогов. Есть разные способы сократить эту сумму, но сделать это прямо в разы без потери качества сложно. При этом зачастую постоянной и полноценной загрузки для такого человека чисто физически нет — в большинстве случаев у малого и среднего, да и нередко для крупного бизнеса просто нет такого количества задач. Ну не нужен им CISO на полный день.
Так что сторонний профессионал с большим опытом, который изначально будет работать на part time, зная вашу инфраструктуру, ваши проблемы и ваши задачи — это часто лучший вариант. Но если у вас серьёзный IT-бизнес или много сложной инфраструктуры — возьмите человека в штат. В итоге, выйдет дешевле.(
Telegram
3side кибербезопасности
Услуга: внешний директор по информационной безопасности
В каком случае она имеет смысл: вам нужен человек, который будет следить за информационной безопасностью в компании, но нет возможности\желания брать этого человека в штат.
Сколько это стоит: зависит…
В каком случае она имеет смысл: вам нужен человек, который будет следить за информационной безопасностью в компании, но нет возможности\желания брать этого человека в штат.
Сколько это стоит: зависит…
Red teams и пентест на службе государства — как работают этичные хакеры в погонах.
Про израильское подразделение 8200 многие в индустрии слышали (классические высокоуровневые offensive с диким количеством направлений атак) — выходцы оттуда делали Stuxnet и основывали NSO group. Но и классические red team команды всегда будет востребованы. Ниже — перевод небольшой статьи из журнала ВВС Израиля, которая была написана для того, чтобы рассказать людям "не в теме" что такое пентест и тем более redteam. Кстати, это одно из немногих подразделений кибербеза в мире, где еще пользуются DVD, а сотрудник настолько крут, что его руку тоже на всякий случай заблюрили)
К слову, точно также оно работает и в коммерческом секторе, и мы готовы организовать вам подобные проекты с любыми дополнениями/изменениями и с не менее компетентными исполнителями.
"В современную эпоху средства ведения войны передовых стран претерпели существенные изменения. Теперь для того, чтобы атаковать противника не всегда нужно использовать бомбы и ракеты, а иногда - не нужно даже покидать территорию своей страны. Всё больше и больше боевых операций уходят в киберпространство. Кибератаки происходят постоянно. О них не принято говорить публично, обычно публикую только самые успешные случаи. И это - война, которая никогда не закончится.
А значит, нужны люди, чья работа заключается в защите компьютерных сетей и оценке угрозы атаки вероятного противника. А кто может лучше оценить уязвимости сети для хакеров, чем другой хакер?
Итак, сегодня речь пойдёт о "красной команде" - пентестерах на службе ВВС, чья работа - атаковать военные сети своей страны, находить в них уязвимости чтобы защищаться от кибератак. "Красная команда" хакеров ВВС подобна "Красной эскадрилье". Их главная задача - помочь тем, чья работа заключается в защите компьютерных сетей ВВС, синей команде. Вместе они отслеживают действия различных сил противника из других стран чтобы понять, как они действуют. Противник - это вечный источник вдохновения, он умён и изобретателен, и ему нужно уметь противостоять.
«Мы все время тренируем синюю команду и держим ее в напряжении. Мы улучшаем команды защиты, потому что сами атакуем их - если есть лазейка, которой может воспользоваться нападающий, красная команда должна сначала ее распознать" - рассказывает лейтенант А. из "красной команды" ВВС. «В кибер-мире идет постоянная война между атакующим и защитником. Принято считать, что защищаться труднее, чем атаковать. "Синяя команда" устанавливает защиту, а "красная" её преодолевает. Защитник должен предотвратить атаку и улучшить свои защитные меры. Это похоже на гонку, в которой один все время пытается обогнать другого".
Военнослужащие "красной команды" отбираются очень индивидуально и поступают из разных подразделений ЦАХАЛа. Команда очень мала, полагая, что небольшая высококачественная группа будет атаковать более целенаправленно и качественно, чем большая команда. Используемые ими инструменты засекречены, но их работа опирается на реальные возможности противника в этой области.
Как осуществляется процесс атаки военных сетей? "Мы начинаем с предварительного анализа - придумываем идею и тестируем её в нашей собственной сети, которая не связана с сетями ВВС. Затем мы проводим атаку на нашу сеть, чтобы убедиться, что она работает, а затем наступает время проверить наши идеи на практике". Сделанные выводы передаются синей команде, чтобы из нашей работы они могли понять, как надо защищаться от подобных угроз и как усложнить атакующему задачу в дальнейшем. "Это происходит еженедельно, и иногда мы выполняем атаки более одного раза, чтобы убедиться, что выводы были усвоены и что уязвимости действительно были закрыты - если наша атака во второй раз достигнет цели, значит наши товарищи что-то сделали неправильно".
"Я считаю, что, если бы мы не так часто атаковали синюю команду, они потеряли бы свои навыки. Когда они знают, что есть люди, которые каждый день пытаются найти уязвимости в их работе - они начинают работать совсем иначе".
(догадываюсь, как делали фото — "сделай типа умное лицо и покажи пальцем в консоль")
Про израильское подразделение 8200 многие в индустрии слышали (классические высокоуровневые offensive с диким количеством направлений атак) — выходцы оттуда делали Stuxnet и основывали NSO group. Но и классические red team команды всегда будет востребованы. Ниже — перевод небольшой статьи из журнала ВВС Израиля, которая была написана для того, чтобы рассказать людям "не в теме" что такое пентест и тем более redteam. Кстати, это одно из немногих подразделений кибербеза в мире, где еще пользуются DVD, а сотрудник настолько крут, что его руку тоже на всякий случай заблюрили)
К слову, точно также оно работает и в коммерческом секторе, и мы готовы организовать вам подобные проекты с любыми дополнениями/изменениями и с не менее компетентными исполнителями.
"В современную эпоху средства ведения войны передовых стран претерпели существенные изменения. Теперь для того, чтобы атаковать противника не всегда нужно использовать бомбы и ракеты, а иногда - не нужно даже покидать территорию своей страны. Всё больше и больше боевых операций уходят в киберпространство. Кибератаки происходят постоянно. О них не принято говорить публично, обычно публикую только самые успешные случаи. И это - война, которая никогда не закончится.
А значит, нужны люди, чья работа заключается в защите компьютерных сетей и оценке угрозы атаки вероятного противника. А кто может лучше оценить уязвимости сети для хакеров, чем другой хакер?
Итак, сегодня речь пойдёт о "красной команде" - пентестерах на службе ВВС, чья работа - атаковать военные сети своей страны, находить в них уязвимости чтобы защищаться от кибератак. "Красная команда" хакеров ВВС подобна "Красной эскадрилье". Их главная задача - помочь тем, чья работа заключается в защите компьютерных сетей ВВС, синей команде. Вместе они отслеживают действия различных сил противника из других стран чтобы понять, как они действуют. Противник - это вечный источник вдохновения, он умён и изобретателен, и ему нужно уметь противостоять.
«Мы все время тренируем синюю команду и держим ее в напряжении. Мы улучшаем команды защиты, потому что сами атакуем их - если есть лазейка, которой может воспользоваться нападающий, красная команда должна сначала ее распознать" - рассказывает лейтенант А. из "красной команды" ВВС. «В кибер-мире идет постоянная война между атакующим и защитником. Принято считать, что защищаться труднее, чем атаковать. "Синяя команда" устанавливает защиту, а "красная" её преодолевает. Защитник должен предотвратить атаку и улучшить свои защитные меры. Это похоже на гонку, в которой один все время пытается обогнать другого".
Военнослужащие "красной команды" отбираются очень индивидуально и поступают из разных подразделений ЦАХАЛа. Команда очень мала, полагая, что небольшая высококачественная группа будет атаковать более целенаправленно и качественно, чем большая команда. Используемые ими инструменты засекречены, но их работа опирается на реальные возможности противника в этой области.
Как осуществляется процесс атаки военных сетей? "Мы начинаем с предварительного анализа - придумываем идею и тестируем её в нашей собственной сети, которая не связана с сетями ВВС. Затем мы проводим атаку на нашу сеть, чтобы убедиться, что она работает, а затем наступает время проверить наши идеи на практике". Сделанные выводы передаются синей команде, чтобы из нашей работы они могли понять, как надо защищаться от подобных угроз и как усложнить атакующему задачу в дальнейшем. "Это происходит еженедельно, и иногда мы выполняем атаки более одного раза, чтобы убедиться, что выводы были усвоены и что уязвимости действительно были закрыты - если наша атака во второй раз достигнет цели, значит наши товарищи что-то сделали неправильно".
"Я считаю, что, если бы мы не так часто атаковали синюю команду, они потеряли бы свои навыки. Когда они знают, что есть люди, которые каждый день пытаются найти уязвимости в их работе - они начинают работать совсем иначе".
(догадываюсь, как делали фото — "сделай типа умное лицо и покажи пальцем в консоль")
Взлом, а не инсайд в «Яндекс.Еде»
Сотрудники Яндекса поделились подробностями о взломе, в результате которого случилась известная утечка данных пользователей сервиса «Яндекс.Еда».
В ходе атаки был взломан хостинг, на котором располагались сервера, ранее принадлежавшие компании Foodfox. Эти сервера оставались наследием (legacy), после покупки Яндексом компании. Именно через взлом хостинга и доступ к этим серверам были получены данные пользователей. Инфраструктура самого Яндекса задета не была.
Стоит отметить, что сам взломанный хостинг не называется. Для интересующихся рекомендуем посмотреть историю использования сервисом Foodfox Ip-адресов, с нашей точки зрения там все понятно.
Скажут ли что-то другие клиенты хостинга? Сомневаемся, что злоумышленники воспользовались только доступом к серверам Foodfox.
Интересно, что слухи о том, что слив был результатом работы инсайдера, не подтвердились, хотя именно об этой версии говорили с самого начала в ИБ-комьюнити.
Выводы:
- Legacy зло, избавляйтесь от небезопасного наследия.
- Ваши партнеры/подрядчики/хостинг могут быть уязвимее вас, стоит тщательно выбирать с кем работаете, «атаки на цепочки поставок» крайне актуальны.
Сотрудники Яндекса поделились подробностями о взломе, в результате которого случилась известная утечка данных пользователей сервиса «Яндекс.Еда».
В ходе атаки был взломан хостинг, на котором располагались сервера, ранее принадлежавшие компании Foodfox. Эти сервера оставались наследием (legacy), после покупки Яндексом компании. Именно через взлом хостинга и доступ к этим серверам были получены данные пользователей. Инфраструктура самого Яндекса задета не была.
Стоит отметить, что сам взломанный хостинг не называется. Для интересующихся рекомендуем посмотреть историю использования сервисом Foodfox Ip-адресов, с нашей точки зрения там все понятно.
Скажут ли что-то другие клиенты хостинга? Сомневаемся, что злоумышленники воспользовались только доступом к серверам Foodfox.
Интересно, что слухи о том, что слив был результатом работы инсайдера, не подтвердились, хотя именно об этой версии говорили с самого начала в ИБ-комьюнити.
Выводы:
- Legacy зло, избавляйтесь от небезопасного наследия.
- Ваши партнеры/подрядчики/хостинг могут быть уязвимее вас, стоит тщательно выбирать с кем работаете, «атаки на цепочки поставок» крайне актуальны.
Мы запускаем полноценную реферальную программу “Третьей стороны”
Работает очень просто: сначала вы договариваетесь с потенциальным клиентом и рассказываете про нас. Потом вы заполняете форму, и получаете 3% от всех (!) контрактов с Заказчиком, которые будут заключены в течение 3 месяцев с момента заполнения формы.
В случае, если Заказчик берет пакет, отличный от Базового, вознаграждение возрастает до 5%. За каждого следующего клиента, приведенного в течение полугода с момент последнего заполнения формы, вы получите на 0,5% от суммы контракта больше - до 5% для базового и 7% до любого другого пакета включительно.
Самое главное — прежде чем заполнять форму, расскажите контрагенту о том, кто мы такие и как мы работаем. Это важная и обязательная часть реферальной программы.
По каждой заявке мы дадим вам обратную связь, после общения с потенциальным заказчиком.
Вознаграждение будет перечислено любым способом по договорённости. В общем, ждём ваших рефералок!
Работает очень просто: сначала вы договариваетесь с потенциальным клиентом и рассказываете про нас. Потом вы заполняете форму, и получаете 3% от всех (!) контрактов с Заказчиком, которые будут заключены в течение 3 месяцев с момента заполнения формы.
В случае, если Заказчик берет пакет, отличный от Базового, вознаграждение возрастает до 5%. За каждого следующего клиента, приведенного в течение полугода с момент последнего заполнения формы, вы получите на 0,5% от суммы контракта больше - до 5% для базового и 7% до любого другого пакета включительно.
Самое главное — прежде чем заполнять форму, расскажите контрагенту о том, кто мы такие и как мы работаем. Это важная и обязательная часть реферальной программы.
По каждой заявке мы дадим вам обратную связь, после общения с потенциальным заказчиком.
Вознаграждение будет перечислено любым способом по договорённости. В общем, ждём ваших рефералок!
3side кибербезопасности pinned «Мы запускаем полноценную реферальную программу “Третьей стороны” Работает очень просто: сначала вы договариваетесь с потенциальным клиентом и рассказываете про нас. Потом вы заполняете форму, и получаете 3% от всех (!) контрактов с Заказчиком, которые будут…»
Мы завершили первый проект с компанией Pedant.ru, сетью сервисных центров №1 в России.
Задача - анализ защищенности web-приложений. Выполнял один из лучших специалистов в индустрии, получили впечатляющий результат.
Теперь мы уверены в сотрудничестве с Пендантом не только как партнеры, но и как клиенты, сооснователь ремонтировал телефон тут)
Главное — это, конечно, итоговый результат, довольный и защищенный клиент.
Впереди еще долгое сотрудничество по различным направлениям. О чем позволит NDA, обязательно вам расскажем!
Задача - анализ защищенности web-приложений. Выполнял один из лучших специалистов в индустрии, получили впечатляющий результат.
Теперь мы уверены в сотрудничестве с Пендантом не только как партнеры, но и как клиенты, сооснователь ремонтировал телефон тут)
Главное — это, конечно, итоговый результат, довольный и защищенный клиент.
Впереди еще долгое сотрудничество по различным направлениям. О чем позволит NDA, обязательно вам расскажем!
"Так безопасно?" №5: А что с безопасностью Android?
Если кратко, практически весь киберкриминал нацелен исключительно на Андроид-устройства и неплохо на этом зарабатывает.
Почему они предпочитают не связываться с устройствами Apple мы говорили тут.
Что же не так с Андроидом?
Ставка на безопасность уровня приложений, а не уровня железа. У Apple самые эффективные методы защиты зашиты именно в железо, в чипах и построенных «цепочках доверия». Поэтому даже при физическом доступе к устройству вытащить из него что-то сложно. У Андроида же, при физическом доступе к устройству защита «сыпется» гораздо быстрее. Разобрав устройство практически всегда можно с него достать очень многое.
Но почему не как у Apple? Железо разное, компаний, выпускающих устройства на Андроид тысячи, отдавать им свои технологии уровня железа? Нельзя. Контролировать реализацию? Невозможно. У Apple преимущество одной компании.
Также и с выпуском патчей, все ли производители своевременно внедряют обновления безопасности на свои устройства? У Apple легко можно раздать по воздуху на все еще обновляемые устройства. А у Андроид? Сначала выдать патч разработчику линейки устройств (например xiaomi), оттестировать, ведь может пойти что-то не так из-за разной начинки устройств и встроенного ПО, доработать. А все доработки патчей под свои устройства занимают время! Поэтому патчи выпускаются первоначально на «флагманские» устройства, а до остальных хорошо если вообще дойдут. А ведь еще добавляются уязвимости в прошивках конкретного производителя устройства, его собственные дыры!
«Зоопарк» производителей, моделей и встроенного софта дает огромную задержку на устранение уязвимостей и прекрасную почву для заражения даже уже давно известными уязвимостями.
Андроид в какой-то степени опенсорс, и открытость облегчает поиск новых уязвимостей и исследователям, и криминалу. А высокая популярность для киберкриминала крайне важна, жертв больше.
Возможность установки стороннего недоверенного софта на Андроид позволяет злоумышленникам эффективно распространять вредоносное ПО через пиратские сайты и сомнительные магазины приложений.
Ну и наконец, изоляция приложений. В Андроид она работает плохо, приложения слишком хорошо могут влиять друг на друга и на саму операционную систему. Багов «выхода» за свое пространство находится в разы больше, чем у Apple, а значит, взломав условный «Whatsapp», можно попытаться вытащить данные из онлайн банкинга. Это значительно упрощает монетизацию взломов.
По всем вышеперечисленным причинам устройства на Андроид значительно менее защищены, чем устройства Apple. Это плата за широкое распространение, частичную открытость и свободу выбора производителя.
Рекомендуем владельцам устройств на Андроид:
- Своевременно обновлять устройство и приложения.
- Использовать «флагманские» версии смартфонов, приоритет защиты будет у них.
- Не устанавливать недоверенные приложения из сторонних магазинов!
- С осторожностью относиться к малопопулярным приложениям из официального магазина, даже туда злоумышленникам удается внедрить вредоносные функции.
- Стараться не терять смартфон.
#3side_так_безопасно
Если кратко, практически весь киберкриминал нацелен исключительно на Андроид-устройства и неплохо на этом зарабатывает.
Почему они предпочитают не связываться с устройствами Apple мы говорили тут.
Что же не так с Андроидом?
Ставка на безопасность уровня приложений, а не уровня железа. У Apple самые эффективные методы защиты зашиты именно в железо, в чипах и построенных «цепочках доверия». Поэтому даже при физическом доступе к устройству вытащить из него что-то сложно. У Андроида же, при физическом доступе к устройству защита «сыпется» гораздо быстрее. Разобрав устройство практически всегда можно с него достать очень многое.
Но почему не как у Apple? Железо разное, компаний, выпускающих устройства на Андроид тысячи, отдавать им свои технологии уровня железа? Нельзя. Контролировать реализацию? Невозможно. У Apple преимущество одной компании.
Также и с выпуском патчей, все ли производители своевременно внедряют обновления безопасности на свои устройства? У Apple легко можно раздать по воздуху на все еще обновляемые устройства. А у Андроид? Сначала выдать патч разработчику линейки устройств (например xiaomi), оттестировать, ведь может пойти что-то не так из-за разной начинки устройств и встроенного ПО, доработать. А все доработки патчей под свои устройства занимают время! Поэтому патчи выпускаются первоначально на «флагманские» устройства, а до остальных хорошо если вообще дойдут. А ведь еще добавляются уязвимости в прошивках конкретного производителя устройства, его собственные дыры!
«Зоопарк» производителей, моделей и встроенного софта дает огромную задержку на устранение уязвимостей и прекрасную почву для заражения даже уже давно известными уязвимостями.
Андроид в какой-то степени опенсорс, и открытость облегчает поиск новых уязвимостей и исследователям, и криминалу. А высокая популярность для киберкриминала крайне важна, жертв больше.
Возможность установки стороннего недоверенного софта на Андроид позволяет злоумышленникам эффективно распространять вредоносное ПО через пиратские сайты и сомнительные магазины приложений.
Ну и наконец, изоляция приложений. В Андроид она работает плохо, приложения слишком хорошо могут влиять друг на друга и на саму операционную систему. Багов «выхода» за свое пространство находится в разы больше, чем у Apple, а значит, взломав условный «Whatsapp», можно попытаться вытащить данные из онлайн банкинга. Это значительно упрощает монетизацию взломов.
По всем вышеперечисленным причинам устройства на Андроид значительно менее защищены, чем устройства Apple. Это плата за широкое распространение, частичную открытость и свободу выбора производителя.
Рекомендуем владельцам устройств на Андроид:
- Своевременно обновлять устройство и приложения.
- Использовать «флагманские» версии смартфонов, приоритет защиты будет у них.
- Не устанавливать недоверенные приложения из сторонних магазинов!
- С осторожностью относиться к малопопулярным приложениям из официального магазина, даже туда злоумышленникам удается внедрить вредоносные функции.
- Стараться не терять смартфон.
#3side_так_безопасно
Stack Overflow: почему это может быть небезопасно?
Не секрет, что различные разработчики нередко обращаются к stack overflow и другим подобным онлайн-источникам для того, чтобы найти решение своих проблем, сэкономить время и просто понять, как работают те или иные алгоритмы. Проблема в том, что это не всегда безопасно.
Да, это безусловно удобно — готовые лучшие практики, возможность взять уже созданный код и сэкономить время. Такое поведение в итоге формирует фрагменты кода, сгенерированные сообществом и многократно использованные, но при этом влияние такого поведения на безопасность разработки ... как минимум, под вопросом.
Защищенность итогового продукта — штука вообще достаточно важная. Когда мы говорим о чьем-то коде, мы зачастую даже близко не представляем, кем он написан, как, а главное — безопасен ли он. И можно ли им вообще пользоваться в каждой конкретной ситуации.
На эту тему есть множество исследований — например, здесь говорят о том, что около 15% из 1,3 миллионов проанализированных android-приложений содержали фрагменты кода, найденные (или размещенные) на stackoverflow, и 97,9 из них содержат как минимум один небезопасный фрагмент.
В идеальном варианте, любой размещаемый там код должен быть проанализирован на предмет безопасности. Да, в реалиях работы со свободно распространяемым программным обеспечением это утопия ... но тут ведь как. Бездумное копирование уже готовых решений иногда выглядит ещё хуже.
А что можно сделать для своей компании?
Заблокировать Stack Overflow. Построить процесс безопасной разработки (SSDLC)! Это многогранный процесс включающий автоматический анализ кода, обучение основам безопасной разработки и контроль на всех этапах.
Мы готовы бесплатно проконсультировать вас или построить для вас SSDLC, исходя из вашего бюджета.
Не секрет, что различные разработчики нередко обращаются к stack overflow и другим подобным онлайн-источникам для того, чтобы найти решение своих проблем, сэкономить время и просто понять, как работают те или иные алгоритмы. Проблема в том, что это не всегда безопасно.
Да, это безусловно удобно — готовые лучшие практики, возможность взять уже созданный код и сэкономить время. Такое поведение в итоге формирует фрагменты кода, сгенерированные сообществом и многократно использованные, но при этом влияние такого поведения на безопасность разработки ... как минимум, под вопросом.
Защищенность итогового продукта — штука вообще достаточно важная. Когда мы говорим о чьем-то коде, мы зачастую даже близко не представляем, кем он написан, как, а главное — безопасен ли он. И можно ли им вообще пользоваться в каждой конкретной ситуации.
На эту тему есть множество исследований — например, здесь говорят о том, что около 15% из 1,3 миллионов проанализированных android-приложений содержали фрагменты кода, найденные (или размещенные) на stackoverflow, и 97,9 из них содержат как минимум один небезопасный фрагмент.
В идеальном варианте, любой размещаемый там код должен быть проанализирован на предмет безопасности. Да, в реалиях работы со свободно распространяемым программным обеспечением это утопия ... но тут ведь как. Бездумное копирование уже готовых решений иногда выглядит ещё хуже.
А что можно сделать для своей компании?
Мы готовы бесплатно проконсультировать вас или построить для вас SSDLC, исходя из вашего бюджета.
С наступающим!
Пусть этот год принесёт вам спокойствие, успех и процветание.
Здоровья и терпения всем вам и вашим близким.
Все мы тратим много времени на работу и другие дела, и часто незаслуженно обделяем вниманием тех, кто нам дорог и кто всегда рядом.
Новый год — это отличный повод остановиться и провести время с такими людьми.
Всех благ!
Сооснователи 3side Артем Наливайко и Антон Бочкарев
Пусть этот год принесёт вам спокойствие, успех и процветание.
Здоровья и терпения всем вам и вашим близким.
Все мы тратим много времени на работу и другие дела, и часто незаслуженно обделяем вниманием тех, кто нам дорог и кто всегда рядом.
Новый год — это отличный повод остановиться и провести время с такими людьми.
Всех благ!
Сооснователи 3side Артем Наливайко и Антон Бочкарев
Написали статью для РБК Про о том, почему Россия теряет одних из самых важных специалистов по кибербезопасности и что с этим сделать.
(статья под пейволом, но про то, что такое уязвимости нулевого дня тут вряд-ли надо кому-то рассказывать)
Самые яркие примеры, о которых мы вообще говорим:
- История офигенно талантливой Алисы Esage Шевченко, компания которой одна из первых попала под международные санкции и была отрезана от международного рынка кибербеза. Причем причины до сих пор не до конца понятны — просто так вышло.
- История компании Digital Security, потерявшей одну из сильнейших своих команд, после обвинения в помощи во вмешательстве в выборы в США и жесточайших международных санкций. Причем там с доказательствами была проблема, но тут хватило даже просто "подозрений и заявлений".
И DSec и компания Алисы до санкций имели большие международные амбиции. В результате бОльшая часть команды DSec, как и Алиса покинули Россию.
Почему так происходит, что с этим делать, все в статье. Но общий смысл простой — продолжение работы в России и на Россию действительно может стоить карьеры. И вот получается два варианта — или уезжать (просто чтобы работать не опасаясь санкций), или окончательно привязывать свою карьеру к работе на государство. И то, и другое — выбор уж очень специфический. Ну а что с этим делать ... защищать, защищать своих лучших специалистов. Причем тут речь про совершенно разные вещи — и возможность "непублично" делать свою работу, и условия контракта, и многое другое. Проблема решается деньгами, но не только деньгами.
Отдельно, исключительно для нашего канала, хотели бы отметить, что вместо того, чтобы решать подобные проблемы, наши силовые структуры предпочитают работать с откровенным киберкриминалом. Ну, то есть кардерами, рансомом (кибервымогателями) и прочими гражданами сомнительных этических качеств. Почему? А всё просто. Во-первых, на них проще надавить. С сильным "белым" специалистом по ИБ всегда нужно договариваться — с криминалом можно обойтись угрозами. Во-вторых, у некоторых нечистых на руку силовиков появляется возможность получать долю с их криминальных доходов, а шантажировать кардера не сложно. А то, что один про уровню профессионализма превосходит другого на 2-3 головы, никого не волнует.
Кстати. В отличие от государства, коммерческие компании по кибербезопасности с бывшими представителями киберкриминала не работают. В отличие от государства. Как говорится — догадайтесь, почему.
(статья под пейволом, но про то, что такое уязвимости нулевого дня тут вряд-ли надо кому-то рассказывать)
Самые яркие примеры, о которых мы вообще говорим:
- История офигенно талантливой Алисы Esage Шевченко, компания которой одна из первых попала под международные санкции и была отрезана от международного рынка кибербеза. Причем причины до сих пор не до конца понятны — просто так вышло.
- История компании Digital Security, потерявшей одну из сильнейших своих команд, после обвинения в помощи во вмешательстве в выборы в США и жесточайших международных санкций. Причем там с доказательствами была проблема, но тут хватило даже просто "подозрений и заявлений".
И DSec и компания Алисы до санкций имели большие международные амбиции. В результате бОльшая часть команды DSec, как и Алиса покинули Россию.
Почему так происходит, что с этим делать, все в статье. Но общий смысл простой — продолжение работы в России и на Россию действительно может стоить карьеры. И вот получается два варианта — или уезжать (просто чтобы работать не опасаясь санкций), или окончательно привязывать свою карьеру к работе на государство. И то, и другое — выбор уж очень специфический. Ну а что с этим делать ... защищать, защищать своих лучших специалистов. Причем тут речь про совершенно разные вещи — и возможность "непублично" делать свою работу, и условия контракта, и многое другое. Проблема решается деньгами, но не только деньгами.
Отдельно, исключительно для нашего канала, хотели бы отметить, что вместо того, чтобы решать подобные проблемы, наши силовые структуры предпочитают работать с откровенным киберкриминалом. Ну, то есть кардерами, рансомом (кибервымогателями) и прочими гражданами сомнительных этических качеств. Почему? А всё просто. Во-первых, на них проще надавить. С сильным "белым" специалистом по ИБ всегда нужно договариваться — с криминалом можно обойтись угрозами. Во-вторых, у некоторых нечистых на руку силовиков появляется возможность получать долю с их криминальных доходов, а шантажировать кардера не сложно. А то, что один про уровню профессионализма превосходит другого на 2-3 головы, никого не волнует.
Кстати. В отличие от государства, коммерческие компании по кибербезопасности с бывшими представителями киберкриминала не работают. В отличие от государства. Как говорится — догадайтесь, почему.
РБК Pro
Свидетели «нулевого дня»: чем рискуют в России лучшие
Уязвимость «нулевого дня» (от англ. zero day, 0-day) — недостаток ПО, неизвестный создателям и антивирусам. Если ее найдут злоумышленники, то смогут успешно вести кибератаки. Антон Бочкарев («Третья
Всем привет!
К сожалению, многие события в мире ИБ сейчас прямо связаны с политической ситуацией. То есть взломы, утечки, хактивизм и работа организованных групп против российской инфраструктуры была всегда, просто сейчас ее интенсивность возросла многократно.
Мы не можем не комментировать происходящее, но хотели бы делать это с профессиональной точки зрения, абстрагируясь от вопросов в духе "кто прав" и "почему так вышло". Нас и наших клиентов, как вы можете догадаться, эта ситуация тоже очень сильно затронула.
А говорить об этом надо в том числе потому, что картина угроз в ИБ за последний год изменилась, а в новом году изменится еще больше. Так что мы вводим рубрику #3side_безполитики, где будем рассказывать о текущей ситуации, угрозах и в том числе — нашей работе.
К сожалению, многие события в мире ИБ сейчас прямо связаны с политической ситуацией. То есть взломы, утечки, хактивизм и работа организованных групп против российской инфраструктуры была всегда, просто сейчас ее интенсивность возросла многократно.
Мы не можем не комментировать происходящее, но хотели бы делать это с профессиональной точки зрения, абстрагируясь от вопросов в духе "кто прав" и "почему так вышло". Нас и наших клиентов, как вы можете догадаться, эта ситуация тоже очень сильно затронула.
А говорить об этом надо в том числе потому, что картина угроз в ИБ за последний год изменилась, а в новом году изменится еще больше. Так что мы вводим рубрику #3side_безполитики, где будем рассказывать о текущей ситуации, угрозах и в том числе — нашей работе.