Всем привет!
Администрация 3side.org на связи, этот канал будет нашим информационным.
Что тут будет?
- Объявления для Исполнителей/Экспертов/Партнеров/Заказчиков.
- Новости компании.
- Анонсы нашего участия в мероприятиях.
- Опросы и прочий интерактив.
Все удобнее, чем устраивать рассылки.
Добро пожаловать!
Администрация 3side.org на связи, этот канал будет нашим информационным.
Что тут будет?
- Объявления для Исполнителей/Экспертов/Партнеров/Заказчиков.
- Новости компании.
- Анонсы нашего участия в мероприятиях.
- Опросы и прочий интерактив.
Все удобнее, чем устраивать рассылки.
Добро пожаловать!
3side кибербезопасности pinned «Всем привет! Администрация 3side.org на связи, этот канал будет нашим информационным. Что тут будет? - Объявления для Исполнителей/Экспертов/Партнеров/Заказчиков. - Новости компании. - Анонсы нашего участия в мероприятиях. - Опросы и прочий интерактив. Все…»
Все заявки по Исполнителям отработаны!
Это было долго, т.к. мы немного недооценили количество желающих.
Все, прошедшие проверки, зарегистрированы.
В ближайших планах, помимо активного пиара и продаж, запуск 2.0 версии сайта.
Это было долго, т.к. мы немного недооценили количество желающих.
Все, прошедшие проверки, зарегистрированы.
В ближайших планах, помимо активного пиара и продаж, запуск 2.0 версии сайта.
Как выглядят угрозы ИБ для микропредприятий?
На днях удалось увидеть одну из них воочию. Позвонил нам владелец такого микробизнеса на 5 рабочих станций и 1 сервер 1С. Захотели сотрудники иметь возможность подключаться к рабочей 1С удаленно из дома, и для этого проекта был выбран "специалист" - системный администратор на ПРОФИ.РУ. За небольшой прайс и один вечер доступ был удачно настроен, вывешен сервис RDP с несколькими параллельными сессиями в Интернет. Оценивать безопасность собственных решений в компетенцию "специалиста"" явно не входило.
А утром сервер 1С уже был зашифрован современной версией шифровальщика Crysis и даже не запускался. Привлеченный накануне сисадмин попробовал "восстановить данные", как это он себе представлял. Своими действиями он лишь стер все следы и логи, вытащил только зашифрованные копии базы. Уточнил "у меня нет уверенности, что это связано с моим визитом", но хотя бы деньги за визит вернул. Хотя потерянные были гораздо ценнее.
Владельца бизнеса мы бесплатно проконсультировали, объяснили возможные причины случившегося и объяснили, как не повторить подобную ситуацию в будущем и организовать надежную работу, даже с его минимальным бюджетом.
На днях удалось увидеть одну из них воочию. Позвонил нам владелец такого микробизнеса на 5 рабочих станций и 1 сервер 1С. Захотели сотрудники иметь возможность подключаться к рабочей 1С удаленно из дома, и для этого проекта был выбран "специалист" - системный администратор на ПРОФИ.РУ. За небольшой прайс и один вечер доступ был удачно настроен, вывешен сервис RDP с несколькими параллельными сессиями в Интернет. Оценивать безопасность собственных решений в компетенцию "специалиста"" явно не входило.
А утром сервер 1С уже был зашифрован современной версией шифровальщика Crysis и даже не запускался. Привлеченный накануне сисадмин попробовал "восстановить данные", как это он себе представлял. Своими действиями он лишь стер все следы и логи, вытащил только зашифрованные копии базы. Уточнил "у меня нет уверенности, что это связано с моим визитом", но хотя бы деньги за визит вернул. Хотя потерянные были гораздо ценнее.
Владельца бизнеса мы бесплатно проконсультировали, объяснили возможные причины случившегося и объяснили, как не повторить подобную ситуацию в будущем и организовать надежную работу, даже с его минимальным бюджетом.
Удачно использовали наш комментарий в статье
https://ict.moscow/news/infosec-2022/
https://ict.moscow/news/infosec-2022/
Возможности социальной инженерии.
Когда говорят о социальной инженерии, то ее часто недооценивают. Позиция такова:
"Ну введет пользователь пароль куда не нужно, ну откроет ссылку или даже загрузит что-то, ну и что?
У нас средства защиты все заблокируют, заметим, расследуем!"
А я скажу, что, имея контроль над человеком, можно сделать что угодно и обойти многие средства контроля и защиты. И сожжённая машина Евгения Секретарева замначальника управления Генштаба — тому пример.
Пенсионерке Елена Беловой просто позвонили и убедили следовать инструкциям, и она сожгла указанную машину!
Это не импульсивное действие в виде клика по ссылке или запуска файла, это — длительная операция с покупкой горючих веществ и поездке до нужного места. И когда она уже поверила злоумышленникам, ничто не могло пошатнуть эту веру — она делала все. Даже когда подъехали полицейские, она была уверена, что это бандиты и кричала провокационную фразу как "секретное слово". Ведь так сказали!
И ваши пользователи сделают все, что нужно, помогут обойти средства защиты и не усомнятся ни в одном действии. Особенно если в трубке окажется опытный социальный инженер, а у сотрудника не будет должного критического мышления и/или подготовки.
Атаки с использование социальной инженерии не компенсируются только техническими средствами, подготовка и обучение сотрудников — первичны. Помните об этом.
Когда говорят о социальной инженерии, то ее часто недооценивают. Позиция такова:
"Ну введет пользователь пароль куда не нужно, ну откроет ссылку или даже загрузит что-то, ну и что?
У нас средства защиты все заблокируют, заметим, расследуем!"
А я скажу, что, имея контроль над человеком, можно сделать что угодно и обойти многие средства контроля и защиты. И сожжённая машина Евгения Секретарева замначальника управления Генштаба — тому пример.
Пенсионерке Елена Беловой просто позвонили и убедили следовать инструкциям, и она сожгла указанную машину!
Это не импульсивное действие в виде клика по ссылке или запуска файла, это — длительная операция с покупкой горючих веществ и поездке до нужного места. И когда она уже поверила злоумышленникам, ничто не могло пошатнуть эту веру — она делала все. Даже когда подъехали полицейские, она была уверена, что это бандиты и кричала провокационную фразу как "секретное слово". Ведь так сказали!
И ваши пользователи сделают все, что нужно, помогут обойти средства защиты и не усомнятся ни в одном действии. Особенно если в трубке окажется опытный социальный инженер, а у сотрудника не будет должного критического мышления и/или подготовки.
Атаки с использование социальной инженерии не компенсируются только техническими средствами, подготовка и обучение сотрудников — первичны. Помните об этом.
Кто будет на конференции Merge 2022 (10-11 Ноября) в Сколково?
Приходите послушать и обсудить.
Я бы не стал подобное рассказывать на ИБ-конференции, но вот для IT-конференции этот доклад, как мне кажется, будет крайне полезен.
https://mergeconf.ru/development/cybersecurity/bochkarev
Приходите послушать и обсудить.
Я бы не стал подобное рассказывать на ИБ-конференции, но вот для IT-конференции этот доклад, как мне кажется, будет крайне полезен.
https://mergeconf.ru/development/cybersecurity/bochkarev
Мы обновили сайт!
Разнесли материалы по страницам и разместили ссылки на выступления/публикации в разделе "Мы в СМИ". К слову, этот раздел будет пополняться.
Наш следующий шаг - полнофункциональный личный кабинет.
Если кто-то увидит опечатки на текущей версии 3side.org, напишите нам в контакты, поправим.
Разнесли материалы по страницам и разместили ссылки на выступления/публикации в разделе "Мы в СМИ". К слову, этот раздел будет пополняться.
Наш следующий шаг - полнофункциональный личный кабинет.
Если кто-то увидит опечатки на текущей версии 3side.org, напишите нам в контакты, поправим.
На фоне спекуляций вокруг мобилизации сейчас гуляет множество фейков.
Например, мой друг прислал мне слепленный из различных утечек "слитый список мобилизации". В котором почему-то нет военных билетов, а у нашего общего знакомого вообще указан адрес отеля!
Предполагаем, что это сдэк+гемотест и еще что-то.
Будьте осторожны, перепроверяйте информацию.
P.S. А в качестве шутки выложили в группу с "повестками" вот такую фейковую повестку известной личности в ИБ.
Например, мой друг прислал мне слепленный из различных утечек "слитый список мобилизации". В котором почему-то нет военных билетов, а у нашего общего знакомого вообще указан адрес отеля!
Предполагаем, что это сдэк+гемотест и еще что-то.
Будьте осторожны, перепроверяйте информацию.
P.S. А в качестве шутки выложили в группу с "повестками" вот такую фейковую повестку известной личности в ИБ.
Друзья, всем привет!
Канал привели к финальной версии, обновили название, описание, и прочее.
Мы - компания "Третья сторона" (3side.org), и мы хотим построить новую сервисную модель работы в сфере услуг в ИБ. Наша главная "фишка" - возможность находить конечных исполнителей работ напрямую, без каких-либо посредников и субподрядчиков, но со всей необходимой поддержкой от нас.
Здесь мы будем рассказывать о том, что происходит в российском ИБ - максимально честно, понятно и прозрачно. В общем так, как мы любим и умеем делать.
Канал привели к финальной версии, обновили название, описание, и прочее.
Мы - компания "Третья сторона" (3side.org), и мы хотим построить новую сервисную модель работы в сфере услуг в ИБ. Наша главная "фишка" - возможность находить конечных исполнителей работ напрямую, без каких-либо посредников и субподрядчиков, но со всей необходимой поддержкой от нас.
Здесь мы будем рассказывать о том, что происходит в российском ИБ - максимально честно, понятно и прозрачно. В общем так, как мы любим и умеем делать.
3side кибербезопасности pinned «Друзья, всем привет! Канал привели к финальной версии, обновили название, описание, и прочее. Мы - компания "Третья сторона" (3side.org), и мы хотим построить новую сервисную модель работы в сфере услуг в ИБ. Наша главная "фишка" - возможность находить конечных…»
Павел Дуров: у Whatsapp длительные и системные проблемы с безопасностью
Итак, у нас тут небольшой скандал: основатель tg Павел Дуров прямо обвинил прямого конкурента в системных проблемах с безопасностью. И судя по всему, он абсолютно прав.
Фактически, Дуров прямо говорит, что из коммерческого продукта Whatsapp превратился в инструмент слежки за пользователями. С одной стороны звучит странно, а с другой … До 2016 года там не было никакого шифрования. Первые разговоры о проблемах с безопасностью начались в 2017, и потом в том или ином виде они действительно всплывали каждый год.
Мы можем вспомнить скандал с Pegasus – израильтяне фактически научились получать доступ к телефону жертвы и сделали это коммерческим продуктом. Вы, конечно, можете сказать «окей, но израильское подразделение 8200 – это престижное место службы с огромной технической поддержкой, а ПО делали первоклассные военные хакеры, как и Stuxnet в своё время» - но проблема в другом. Судя по всему, в 2020 году ничего не изменилось и не факт, что изменилось и сейчас.
Казалось бы, какие-то нехорошие люди направо и налево торгуют средством получения неавторизованного доступа к телефонам директоров, президентов и прочих владельцев заводов, газет и нефтяных скважин. Может быть, с этим стоит что-то сделать? Но нет. Судя по всему, проблемы безопасности в Whatsapp решать просто не планируют.
А мы напоминаем: если вы военный, крупный бизнесмен или политический активист – в общем не «ковбой Джо» из старого анекдота – Whatsapp представляет для вас прямую и явную угрозу. Особенно в зоне вооруженного конфликта. Нет, конечно, его отсутствие не гарантирует безопасности – но так злоумышленники хотя-бы не смогут получить доступ к вашей переписке (или всему устройству) по щелчку пальцев.
Итак, у нас тут небольшой скандал: основатель tg Павел Дуров прямо обвинил прямого конкурента в системных проблемах с безопасностью. И судя по всему, он абсолютно прав.
Фактически, Дуров прямо говорит, что из коммерческого продукта Whatsapp превратился в инструмент слежки за пользователями. С одной стороны звучит странно, а с другой … До 2016 года там не было никакого шифрования. Первые разговоры о проблемах с безопасностью начались в 2017, и потом в том или ином виде они действительно всплывали каждый год.
Мы можем вспомнить скандал с Pegasus – израильтяне фактически научились получать доступ к телефону жертвы и сделали это коммерческим продуктом. Вы, конечно, можете сказать «окей, но израильское подразделение 8200 – это престижное место службы с огромной технической поддержкой, а ПО делали первоклассные военные хакеры, как и Stuxnet в своё время» - но проблема в другом. Судя по всему, в 2020 году ничего не изменилось и не факт, что изменилось и сейчас.
Казалось бы, какие-то нехорошие люди направо и налево торгуют средством получения неавторизованного доступа к телефонам директоров, президентов и прочих владельцев заводов, газет и нефтяных скважин. Может быть, с этим стоит что-то сделать? Но нет. Судя по всему, проблемы безопасности в Whatsapp решать просто не планируют.
А мы напоминаем: если вы военный, крупный бизнесмен или политический активист – в общем не «ковбой Джо» из старого анекдота – Whatsapp представляет для вас прямую и явную угрозу. Особенно в зоне вооруженного конфликта. Нет, конечно, его отсутствие не гарантирует безопасности – но так злоумышленники хотя-бы не смогут получить доступ к вашей переписке (или всему устройству) по щелчку пальцев.
Telegram
Du Rove's Channel
Hackers could have full access (!) to everything on the phones of WhatsApp users.
This was possible through a security issue disclosed by WhatsApp itself last week. All a hacker had to do to control your phone was send you a malicious video or start a…
This was possible through a security issue disclosed by WhatsApp itself last week. All a hacker had to do to control your phone was send you a malicious video or start a…
10-15К на руки - или в чем проблема госсектора?
Вот именно по такой причине информационная безопасность в государственных структурах настолько отстает от коммерческого сектора.
Это профильное ведомство – Роскомнадзор!
Кто ЦА этого объявления? Какие у него будут знания и мотивация работать?
Я даже представить не могу.
Нет, серьёзно, ИБ - это сфера, требующая определённых компетенций. Это не консультации по телефону (при всём уважении), которые можно проводить на part-time сидя в любом регионе нашей необъятной Родины.
Вскоре в этом канале будет большая статья о том, как и почему Россия теряет уникальных спецов по информационной безопасности и в коммерческом секторе.
С этим нужно что-то делать.
Ссылка на объявление (https://nn.hh.ru/vacancy/70746306).
Вот именно по такой причине информационная безопасность в государственных структурах настолько отстает от коммерческого сектора.
Это профильное ведомство – Роскомнадзор!
Кто ЦА этого объявления? Какие у него будут знания и мотивация работать?
Я даже представить не могу.
Нет, серьёзно, ИБ - это сфера, требующая определённых компетенций. Это не консультации по телефону (при всём уважении), которые можно проводить на part-time сидя в любом регионе нашей необъятной Родины.
Вскоре в этом канале будет большая статья о том, как и почему Россия теряет уникальных спецов по информационной безопасности и в коммерческом секторе.
С этим нужно что-то делать.
Ссылка на объявление (https://nn.hh.ru/vacancy/70746306).
Правило 7%.
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять требуемое в письме действие, попавшись на уловку.
Это правило было мною подтверждено множество раз, пока я работал на проектах по социо-техническому тестированию на проникновение.
Но почему так? Ведь компании, сотрудники и даже подход к информационной безопасности отличались! В каких-то компаниях сотрудников не обучали там процент попавшихся на письмо был значительно выше. В других же и обучали, и тестировали, а иногда даже наказывали, но даже там ниже средних 7% статистика не снижалась.
Секрет в человеческой нестабильности. Наша способность противостоять мошенникам напрямую зависит от состояния нашей психики. Человек в стрессе или в эйфории гораздо более подвержен манипуляциям, ведь критическое мышление и внимательность ослабевают, а импульсивность наоборот возрастает. Именно поэтому в 7% могут попасть и топ-менеджмент, и служба IT, и даже мы, сотрудники подразделений информационной безопасности!
Все мы люди, все мы уязвимы, если у нас случилось что-то из ряда вон выходящее, хорошее или плохое, то какое-то время мы попадем в группу риска. В подобном состоянии будут забыты тренинги и допущены ошибки. Что же тогда делать для противодействия социальной инженерии?
Обучать сотрудников, чтобы ваш процент не поднимался выше.
Компенсировать риски техническими средствами защиты.
Развивать реагирование на инциденты.
Люди всегда останутся уязвимы, особенно в состоянии как на этой нейрокартинке.
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять требуемое в письме действие, попавшись на уловку.
Это правило было мною подтверждено множество раз, пока я работал на проектах по социо-техническому тестированию на проникновение.
Но почему так? Ведь компании, сотрудники и даже подход к информационной безопасности отличались! В каких-то компаниях сотрудников не обучали там процент попавшихся на письмо был значительно выше. В других же и обучали, и тестировали, а иногда даже наказывали, но даже там ниже средних 7% статистика не снижалась.
Секрет в человеческой нестабильности. Наша способность противостоять мошенникам напрямую зависит от состояния нашей психики. Человек в стрессе или в эйфории гораздо более подвержен манипуляциям, ведь критическое мышление и внимательность ослабевают, а импульсивность наоборот возрастает. Именно поэтому в 7% могут попасть и топ-менеджмент, и служба IT, и даже мы, сотрудники подразделений информационной безопасности!
Все мы люди, все мы уязвимы, если у нас случилось что-то из ряда вон выходящее, хорошее или плохое, то какое-то время мы попадем в группу риска. В подобном состоянии будут забыты тренинги и допущены ошибки. Что же тогда делать для противодействия социальной инженерии?
Обучать сотрудников, чтобы ваш процент не поднимался выше.
Компенсировать риски техническими средствами защиты.
Развивать реагирование на инциденты.
Люди всегда останутся уязвимы, особенно в состоянии как на этой нейрокартинке.
3side кибербезопасности
Возможности социальной инженерии. Когда говорят о социальной инженерии, то ее часто недооценивают. Позиция такова: "Ну введет пользователь пароль куда не нужно, ну откроет ссылку или даже загрузит что-то, ну и что? У нас средства защиты все заблокируют, заметим…
Ну, что мы можем сказать: история в явном виде повторяется. И "слова-маркеры" соответствующие, и действия "преступника-жертвы" и все прочие признаки классической социальной инженерии.
Не знаем, чего там пообещали женщине и чем там ей угрожали, но немного зная российский рынок предположим, что случай не последний.
Не знаем, чего там пообещали женщине и чем там ей угрожали, но немного зная российский рынок предположим, что случай не последний.
Telegram
Baza
«Задание выполнила, теперь заберите меня отсюда».
С этими словами пенсионерка из Санкт-Петербурга попыталась поджечь местное отделение Сбербанка.
Женщина пришла в офис на Комендантском проспекте и, по словам очевидцев, бросила что-то на пол со словами «Слава…
С этими словами пенсионерка из Санкт-Петербурга попыталась поджечь местное отделение Сбербанка.
Женщина пришла в офис на Комендантском проспекте и, по словам очевидцев, бросила что-то на пол со словами «Слава…
"Вот уже 5 лет работаем, и ничего не случилось!"
Слышали такое?)) И ведь это действительно самый частый повод забивать на кибербезопасность - ну а что, ничего же пока не случилось! По-сути, мы имеем дело с классической ошибкой выжившего - ну, и с определёнными проблемами в оценке операционных рисков.
На Habr (https://habr.com/ru/post/693816/) выложили перевод поста о том, как один грамотный исследователь обнаружил уязвимость Profanity для генерации криптокошельков (красивых) Ethereum. Сделал всё это он, как водится, на кошелке своего приятеля.
В итоге: 7,5 часов на домашнем макбуке - просчитаны все открытые ключи, сгенерированные инструментом. Ещё 26 (!) минут, и получен доступ к конкретному кошельку. В итоге: 8 (!!!) часов на взлом по-сути любого кошелька.
Причем самое смешное - за 5 лет никто не нашел эту уязвимость (по крайней мере, публично не сообщил об этом), и тут мы возвращаемся к нашему вопросу: гарантирует ли что-то опыт безопасного использования?
НЕТ
Если периметр вашего бизнеса не взломали за несколько лет, это не значит, что его нельзя взломать. И (скорее всего) не значит, что его нельзя взломать буквально парой запросов. Возможно, вам пока просто везло - или вы просто не привлекали ничьё внимание.
В общем, управление информационной безопасностью - это такая очень важная в наше время часть управления оперрисками. Такие дела.
Слышали такое?)) И ведь это действительно самый частый повод забивать на кибербезопасность - ну а что, ничего же пока не случилось! По-сути, мы имеем дело с классической ошибкой выжившего - ну, и с определёнными проблемами в оценке операционных рисков.
На Habr (https://habr.com/ru/post/693816/) выложили перевод поста о том, как один грамотный исследователь обнаружил уязвимость Profanity для генерации криптокошельков (красивых) Ethereum. Сделал всё это он, как водится, на кошелке своего приятеля.
В итоге: 7,5 часов на домашнем макбуке - просчитаны все открытые ключи, сгенерированные инструментом. Ещё 26 (!) минут, и получен доступ к конкретному кошельку. В итоге: 8 (!!!) часов на взлом по-сути любого кошелька.
Причем самое смешное - за 5 лет никто не нашел эту уязвимость (по крайней мере, публично не сообщил об этом), и тут мы возвращаемся к нашему вопросу: гарантирует ли что-то опыт безопасного использования?
НЕТ
Если периметр вашего бизнеса не взломали за несколько лет, это не значит, что его нельзя взломать. И (скорее всего) не значит, что его нельзя взломать буквально парой запросов. Возможно, вам пока просто везло - или вы просто не привлекали ничьё внимание.
В общем, управление информационной безопасностью - это такая очень важная в наше время часть управления оперрисками. Такие дела.
Хабр
Как я хакнул Ethereum кошелек друга за 26 минут на MacBook M1 Pro
Я отправил сообщение на новый адрес Алекса с его взломанного кошелька. В сентябре 2022 года я решил создать себе новый hot wallet для ежедневного использования. Хотелось сгенерировать себе что-то...