Радикальный инсайд — открытая диверсия сотрудников
Нелояльные сотрудники — проблема для компании. Особенно когда из просто "нелояльных" они превращаются в "изначально вредителей". Такую проблему мы называем "радикальным инсайдов" — ситуацией, когда сотрудник из политических или иных убеждений начинает наносить ущерб работодателю.
Тут недавно всплыла потрясающая история: была в Управлении по цифровизации Росавиации практически рядовая сотрудница. Она уволилась и уехала из России — а вскоре атака на сервера организации вынудила ее перейти на бумажный документооборот. О последствиях судить сложно, но на рынке говорят о том, что проблемы есть и их много.
В итоге выяснилось, что у сотрудницы было украинское гражданство. И нет, само по себе оно стоп-фактором не является, но HR-службам и коллегам стоит как-то мониторить состояние сотрудников и ставить хоть какой-то фильтр на входе. Да и в процессе работы мониторинг действий сотрудников важен, для предотвращения подобного.
Это же обычный инсайд! Не совсем, ранее инсайд был делом скрытным, чаще всего финансово мотивированным, злоумышленники боялись быть пойманными.
А с февраля 2022 года, появился инсайд радикальный, в первую очередь политически мотивированный. При это инсайдер не боится быть пойманным, ведь после злонамеренных действий он просто уезжает в аэропорт. И остановить его практически невозможно, скорости реакции компании, да и силовых структур скорее всего будет недостаточной. Запустил шифровальщик и в аэропорт.
Нелояльные сотрудники — проблема для компании. Особенно когда из просто "нелояльных" они превращаются в "изначально вредителей". Такую проблему мы называем "радикальным инсайдов" — ситуацией, когда сотрудник из политических или иных убеждений начинает наносить ущерб работодателю.
Тут недавно всплыла потрясающая история: была в Управлении по цифровизации Росавиации практически рядовая сотрудница. Она уволилась и уехала из России — а вскоре атака на сервера организации вынудила ее перейти на бумажный документооборот. О последствиях судить сложно, но на рынке говорят о том, что проблемы есть и их много.
В итоге выяснилось, что у сотрудницы было украинское гражданство. И нет, само по себе оно стоп-фактором не является, но HR-службам и коллегам стоит как-то мониторить состояние сотрудников и ставить хоть какой-то фильтр на входе. Да и в процессе работы мониторинг действий сотрудников важен, для предотвращения подобного.
Это же обычный инсайд! Не совсем, ранее инсайд был делом скрытным, чаще всего финансово мотивированным, злоумышленники боялись быть пойманными.
А с февраля 2022 года, появился инсайд радикальный, в первую очередь политически мотивированный. При это инсайдер не боится быть пойманным, ведь после злонамеренных действий он просто уезжает в аэропорт. И остановить его практически невозможно, скорости реакции компании, да и силовых структур скорее всего будет недостаточной. Запустил шифровальщик и в аэропорт.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
👍11🔥5🤡3👎1
Optic ID — новая технология защиты Apple
В начале этого месяца прошла традиционная (хотя здесь вопрос интересный) презентация Apple WWDC2023. На ней было представлено несколько новых гаджетов, в числе которых были очки Apple Vision Pro. Они позиционируются как устройство смешанной реальности, позволяющее окунаться в виртуальный мир не выпадая из реального. Зачем оно нужно? Компания презентует эти очки для дизайнеров, 3D моделистов, инженеров и многих других профессий. Благодаря единой экосистеме Apple, AVP элементарно взаимодействует с обычными рабочими приложениями на тех же маках: фотошоп, видеоредактор, звукоредактор и прочие программы работают в едином пространстве. Но нас интересует другое — система защиты очков.
Optic ID — именно так назвали в Купертино новую технологию, которая отвечает за конфиденциальность устройства. Чтобы получить доступ к очкам, Optic ID сканирует радужную оболочку человеческого глаза и таким образом определяет владельца. Как? Несколько лампочек, расположенных в окулярах очках, проецируют инфракрасный свет на каждый глаз. После этого камеры производят серию снимков зрачка с разной экспозицией, и сопроцессор сверяет полученные рисунки радужки с сохраненными данными в системе. Если совпадение есть — пользователь получает доступ к очкам. Данные об оболочке в зашифрованном виде находятся в отдельном хранилище Secure Enclave. Никто, включая саму компанию Apple, не может получить доступ к этой информации.
Эта технология защиты не нова — ещё в Samsung Galaxy Note 7, флагмане мира телефонов на тот момент, была применена эта технология. Вплоть до Galaxy S9 корейцы использовали распознавание радужной оболочки глаза. Но после сканер был убран — он занимал слишком много места, что не сочеталось с концепцией безрамочного экрана у новых моделей Galaxy.
На Apple Vision Pro такой способ идентификации, наверное, наилучший вариант из возможных — Face ID был бы непрактичным вариантом, а для Touch ID нужна ещё одна внешняя кнопка. Как заявляют в компании, Optic ID — наиболее безопасный и быстрый способ получения доступа к очкам.
Помимо нового способа разблокировки устройства, в Apple позаботились о приватности взгляда пользователя. Просматривая какой-либо сайт никто не будет знать о тех областях, куда был направлен ваш взгляд. Информация будет передаваться только о кликах, как это было бы с обычным курсором.
Optic ID фактически полностью исключает сторонний взлом Vision Pro. Если Touch ID и Face ID люди, при должном старании, могли обмануть, то сканер сетчатки провести практически невозможно. Так как даже у близнецов радужная оболочка отличается друг от друга. Осталось дождаться выхода AVP и узнать, как оно работает у реальных пользователей.
В начале этого месяца прошла традиционная (хотя здесь вопрос интересный) презентация Apple WWDC2023. На ней было представлено несколько новых гаджетов, в числе которых были очки Apple Vision Pro. Они позиционируются как устройство смешанной реальности, позволяющее окунаться в виртуальный мир не выпадая из реального. Зачем оно нужно? Компания презентует эти очки для дизайнеров, 3D моделистов, инженеров и многих других профессий. Благодаря единой экосистеме Apple, AVP элементарно взаимодействует с обычными рабочими приложениями на тех же маках: фотошоп, видеоредактор, звукоредактор и прочие программы работают в едином пространстве. Но нас интересует другое — система защиты очков.
Optic ID — именно так назвали в Купертино новую технологию, которая отвечает за конфиденциальность устройства. Чтобы получить доступ к очкам, Optic ID сканирует радужную оболочку человеческого глаза и таким образом определяет владельца. Как? Несколько лампочек, расположенных в окулярах очках, проецируют инфракрасный свет на каждый глаз. После этого камеры производят серию снимков зрачка с разной экспозицией, и сопроцессор сверяет полученные рисунки радужки с сохраненными данными в системе. Если совпадение есть — пользователь получает доступ к очкам. Данные об оболочке в зашифрованном виде находятся в отдельном хранилище Secure Enclave. Никто, включая саму компанию Apple, не может получить доступ к этой информации.
Эта технология защиты не нова — ещё в Samsung Galaxy Note 7, флагмане мира телефонов на тот момент, была применена эта технология. Вплоть до Galaxy S9 корейцы использовали распознавание радужной оболочки глаза. Но после сканер был убран — он занимал слишком много места, что не сочеталось с концепцией безрамочного экрана у новых моделей Galaxy.
На Apple Vision Pro такой способ идентификации, наверное, наилучший вариант из возможных — Face ID был бы непрактичным вариантом, а для Touch ID нужна ещё одна внешняя кнопка. Как заявляют в компании, Optic ID — наиболее безопасный и быстрый способ получения доступа к очкам.
Помимо нового способа разблокировки устройства, в Apple позаботились о приватности взгляда пользователя. Просматривая какой-либо сайт никто не будет знать о тех областях, куда был направлен ваш взгляд. Информация будет передаваться только о кликах, как это было бы с обычным курсором.
Optic ID фактически полностью исключает сторонний взлом Vision Pro. Если Touch ID и Face ID люди, при должном старании, могли обмануть, то сканер сетчатки провести практически невозможно. Так как даже у близнецов радужная оболочка отличается друг от друга. Осталось дождаться выхода AVP и узнать, как оно работает у реальных пользователей.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
👍15🤡4🔥1🤔1
Конспирологический взлом 1С Битрикс
Многие ТГ-каналы, пишущие о безопасности, разгоняют следующих тезис:
«В последнее время все громкие утечки были выгружены из 1С Битрикс, это не просто так, судя по всему существует какая-то эксплуатируемая и неизвестная широкой общественности уязвимость»
Но доказательств никто не приводит, а тезис этот откровенно спорный. Сейчас очень многие веб-приложения работают на Битриксе, даже Госуслуги РФ. Тогда почему утекают одни, но не утекают другие? Чтобы показать отсутствие причинно-следственной связи перенесу этот тезис на Windows. «Во всех взломанных и зашифрованных компаниях использовали Windows! Совпадение? Не думаю!»
Канал Некасперский один из первых начал разгонять этот тезис, но сейчас уже изменил свою точку зрения. Там пишут, что якобы проблема в том, что Битрикс пиратят и обновления не ставят. Доказательств пока тоже не привели, да и найти их будет затруднительно.
Что может быть с Битриксом не так? Есть известная уязвимость в модуле для голосований «vote», под номером CVE-2022-27228. Она прошлогодняя, давно устраненная, и даже не обновляя Битрикс, ее можно устранить просто отключив модуль. Эту уязвимость успешно эксплуатировали весь прошлый год, поэтому маловероятно, что многие утечки этого года с ней связаны, но все бывает.
Сотрудники ФСТЭК тоже читают ТГ-каналы, надеемся, что наш тоже. Поэтому, на всякий случай разослали предупреждения для госструктур, о том, что Битрикс могут атаковать. Но будучи людьми осмотрительными, бездоказательных утверждений не делали, а лишь напомнили о CVE-2022-27228. И попросили удостовериться, что ей структуры не подвержены.
Ну а подробнее об известных атаках на Битрикс без конспирологии и домыслов можно прочитать тут.
Многие ТГ-каналы, пишущие о безопасности, разгоняют следующих тезис:
«В последнее время все громкие утечки были выгружены из 1С Битрикс, это не просто так, судя по всему существует какая-то эксплуатируемая и неизвестная широкой общественности уязвимость»
Но доказательств никто не приводит, а тезис этот откровенно спорный. Сейчас очень многие веб-приложения работают на Битриксе, даже Госуслуги РФ. Тогда почему утекают одни, но не утекают другие? Чтобы показать отсутствие причинно-следственной связи перенесу этот тезис на Windows. «Во всех взломанных и зашифрованных компаниях использовали Windows! Совпадение? Не думаю!»
Канал Некасперский один из первых начал разгонять этот тезис, но сейчас уже изменил свою точку зрения. Там пишут, что якобы проблема в том, что Битрикс пиратят и обновления не ставят. Доказательств пока тоже не привели, да и найти их будет затруднительно.
Что может быть с Битриксом не так? Есть известная уязвимость в модуле для голосований «vote», под номером CVE-2022-27228. Она прошлогодняя, давно устраненная, и даже не обновляя Битрикс, ее можно устранить просто отключив модуль. Эту уязвимость успешно эксплуатировали весь прошлый год, поэтому маловероятно, что многие утечки этого года с ней связаны, но все бывает.
Сотрудники ФСТЭК тоже читают ТГ-каналы, надеемся, что наш тоже. Поэтому, на всякий случай разослали предупреждения для госструктур, о том, что Битрикс могут атаковать. Но будучи людьми осмотрительными, бездоказательных утверждений не делали, а лишь напомнили о CVE-2022-27228. И попросили удостовериться, что ей структуры не подвержены.
Ну а подробнее об известных атаках на Битрикс без конспирологии и домыслов можно прочитать тут.
GitHub
writeups/attacking_bitrix.pdf at main · cr1f/writeups
some thoughts. Contribute to cr1f/writeups development by creating an account on GitHub.
👍12🤡3🔥2
Внимание, провокации!
На фоне всего происходящего, мошеннические колл-центры активно подключились к повышению общей напряженности. Обзванивают абонентов по своим базам, призывают много к чему, например выходить на акции протеста. Представляются структурами ЧВК "Вагнер".
Не поддавайтесь на провокации! Не забывайте, что вам звонят мошенники.
Кладите трубку.
На фоне всего происходящего, мошеннические колл-центры активно подключились к повышению общей напряженности. Обзванивают абонентов по своим базам, призывают много к чему, например выходить на акции протеста. Представляются структурами ЧВК "Вагнер".
Не поддавайтесь на провокации! Не забывайте, что вам звонят мошенники.
Кладите трубку.
👍52😁4🔥2🤣1
Итоги взлома сети преступной связи Encochat
В июле 2020 Европол провёл операцию по взлому и ликвидации защищенной сети связи, используемой преступниками. Мы привыкли, что самые крутые операции проводит ФБР, но не в этом случае. Тут постарались Нидерланды и Франция.
Encochat был, по сути, телефонной сетью с максимальным уровнем защиты и анонимности. Каждый защищенный крипто-телефон на Андроид стоит 1000 евро, а подписка на сервисы связи стоила 1500 евро за полгода.
На днях были раскрыты данные о пользователях и об итогах работы правоохранителей.
Кто пользовался их услугами?
— Участники классических ОПГ (34,8%)
— Участники наркотрафика (33,29%)
— Специалисты по отмыванию денег (14%)
— Киллеры (11,5%)
— Торговцы оружием (6,4%)
— Остальные (00,01%).
Но что в итоге?
Ошибки создателей сети привели к её взлому и следующим результатам:
— Арестованы 6558 человек, из которых 197 были особенно ценны для следствия.
— Суммарно им грозит 7134 года тюрьмы.
— Конфискованы 739,7 миллионов евро наличными.
— Заморожены активы на счета на 154,1 миллионов евро.
— Изъято 30,5 миллионов наркотических таблеток.
— Изъято: 103,5 тонны кокаина, 163,4 тонны каннабиса и 3,3 тонны героина.
— Конфискованы: 971 автомобиль, 83 лодки и 40 самолетов.
— Наложен арест на 271 объект недвижимости.
— Изъято: 923 единицы оружия, 21 750 единиц патронов и 68 взрывчатых боеприпасов.
Видимо создатели недооценили риск взлома.
В июле 2020 Европол провёл операцию по взлому и ликвидации защищенной сети связи, используемой преступниками. Мы привыкли, что самые крутые операции проводит ФБР, но не в этом случае. Тут постарались Нидерланды и Франция.
Encochat был, по сути, телефонной сетью с максимальным уровнем защиты и анонимности. Каждый защищенный крипто-телефон на Андроид стоит 1000 евро, а подписка на сервисы связи стоила 1500 евро за полгода.
На днях были раскрыты данные о пользователях и об итогах работы правоохранителей.
Кто пользовался их услугами?
— Участники классических ОПГ (34,8%)
— Участники наркотрафика (33,29%)
— Специалисты по отмыванию денег (14%)
— Киллеры (11,5%)
— Торговцы оружием (6,4%)
— Остальные (00,01%).
Но что в итоге?
Ошибки создателей сети привели к её взлому и следующим результатам:
— Арестованы 6558 человек, из которых 197 были особенно ценны для следствия.
— Суммарно им грозит 7134 года тюрьмы.
— Конфискованы 739,7 миллионов евро наличными.
— Заморожены активы на счета на 154,1 миллионов евро.
— Изъято 30,5 миллионов наркотических таблеток.
— Изъято: 103,5 тонны кокаина, 163,4 тонны каннабиса и 3,3 тонны героина.
— Конфискованы: 971 автомобиль, 83 лодки и 40 самолетов.
— Наложен арест на 271 объект недвижимости.
— Изъято: 923 единицы оружия, 21 750 единиц патронов и 68 взрывчатых боеприпасов.
Видимо создатели недооценили риск взлома.
🔥32🤯2👍1👎1🤣1
Утечка данных шпионского ПО
Если и ставить приложения «родительского контроля», то легально и известных компаний. Чтобы не случилось как с LetMeSpy. Это классическое Android -приложение для слежки, которое устанавливалось на разблокированный смартфон, старалось скрывать себя в системе и отсылало данные своему хозяину.
Формально, если установить его, не имея на это прав, можно попасть под статью УК РФ, а то и под несколько статей. В 2023 году официальный сайт приложения гордо заявлял, что ПО успешно выполнило свою задачу на 236 000 устройств!
И вот произошла утечка, что утекло?
- Информация о 26 000 клиентах бесплатной версии, включая хэши их паролей.
- 13 400 точек геолокации (России не видно, но видна Беларусь)
- Журналы звонков, смс-сообщения. Включая коды двухфакторной аутентификации и пароли от сервисов!
При этом часть данных хранилось аж с 2013 года, хотя разработчики утверждают, что удаляют данные через 2 месяца бездействия.
К слову, разработчик ПО проживает в Польше и не скрывает свою личность, интересно не нарушает ли ПО законодательство ЕС? Ему пришлось уведомить об утечке польских регуляторов, возможно к его компании теперь присмотрятся.
Инцидент этот не уникальный, в 2018 году был взлом похожего приложения «TheTruthSpy», в 2020 утекло из приложения «KidsGuard» и так далее.
Администрация канала в целом не разделяет подобные методы контроля и скрытой слежки за детьми, но при острой необходимости ищите легальные решения от известных производителей. Такие на рынке есть.
Если и ставить приложения «родительского контроля», то легально и известных компаний. Чтобы не случилось как с LetMeSpy. Это классическое Android -приложение для слежки, которое устанавливалось на разблокированный смартфон, старалось скрывать себя в системе и отсылало данные своему хозяину.
Формально, если установить его, не имея на это прав, можно попасть под статью УК РФ, а то и под несколько статей. В 2023 году официальный сайт приложения гордо заявлял, что ПО успешно выполнило свою задачу на 236 000 устройств!
И вот произошла утечка, что утекло?
- Информация о 26 000 клиентах бесплатной версии, включая хэши их паролей.
- 13 400 точек геолокации (России не видно, но видна Беларусь)
- Журналы звонков, смс-сообщения. Включая коды двухфакторной аутентификации и пароли от сервисов!
При этом часть данных хранилось аж с 2013 года, хотя разработчики утверждают, что удаляют данные через 2 месяца бездействия.
К слову, разработчик ПО проживает в Польше и не скрывает свою личность, интересно не нарушает ли ПО законодательство ЕС? Ему пришлось уведомить об утечке польских регуляторов, возможно к его компании теперь присмотрятся.
Инцидент этот не уникальный, в 2018 году был взлом похожего приложения «TheTruthSpy», в 2020 утекло из приложения «KidsGuard» и так далее.
Администрация канала в целом не разделяет подобные методы контроля и скрытой слежки за детьми, но при острой необходимости ищите легальные решения от известных производителей. Такие на рынке есть.
👍14🔥7
Лицензия ТЗКИ — как выглядит «шапочка из бумаги»
Сегодня хорошие люди в очередной раз спросили нас о том, есть ли у нас лицензия ТЗКИ. И услышав «нет» — задали вопрос, в чём причина. Так вот — мы точно знаем, что наша деятельность не попадает под требования ТЗКИ. Но, кажется, скоро мы её оформим просто для того, чтобы избежать вопросов, благо это не сложно.
Теперь о том, что это такое. ТЗКИ — это лицензия ФСТЭК, дающая возможность заниматься работами в области кибербезопасности. Чтобы её получить, нужно иметь 3 сотрудников (одного на полный день) с релевантным опытом и образованием, а также иметь соответствующее помещение. Ещё софт, компьютер, юристы, подготовка заявки, но это всё вопросы технические, и их решение давно отработано.
О чём говорит наличие у компании, занимающейся ИБ, такой лицензии? О том, что она потратила немного времени и немного денег, чтобы её получить. Говорит ли она о компетенциях компании? Нет. Приведу простой пример.
Допустим, я (Артём), хочу создать интегратор ООО «Рога и Копыта». Я думаю — окей, мне нужна лицензия! Я нанимаю Антона (на полный день), ещё пару знакомых парней с опытом в ИБ на part-time, снимаю офис в Ново-Мухоморово, трачу немного денег на аутсорс всего остального и... всё. Через 3 месяца у меня есть лицензия. При этом сотрудники (кроме главного) будут числиться у меня номинально, и платить я им буду 3 копейки — они всё равно на меня не работают.
Вот только реальных сотрудников у меня всё ещё не будет — я могу прикрываться сертификатами Антона и парней, участвовать в тендерах, но в реальности всё, что я могу — перепродавать контракты. Причём если я совсем жадный, то продавать я их буду студентам (зря что ли Антон лекции свои читает), а парней попрошу посмотреть, совсем треш они сделали или прокатит.
При этом с точки зрения наличия лицензии — я молодец. А с точки зрения здравого смысла — не очень. Тут классическое «автомат купил, воевать не купил», и лицензия в реальности превращается в подобие патента, необходимого для работы. А для клиента, лицензия у исполнителя работ — это шапочка из бумаги. Она не защищает ни от чего и ничего не гарантирует.
В общем, мы это всё к чему. Лицензию мы, конечно, получим. Вот только от её наличия мы ни лучше, ни хуже не станем.
Сегодня хорошие люди в очередной раз спросили нас о том, есть ли у нас лицензия ТЗКИ. И услышав «нет» — задали вопрос, в чём причина. Так вот — мы точно знаем, что наша деятельность не попадает под требования ТЗКИ. Но, кажется, скоро мы её оформим просто для того, чтобы избежать вопросов, благо это не сложно.
Теперь о том, что это такое. ТЗКИ — это лицензия ФСТЭК, дающая возможность заниматься работами в области кибербезопасности. Чтобы её получить, нужно иметь 3 сотрудников (одного на полный день) с релевантным опытом и образованием, а также иметь соответствующее помещение. Ещё софт, компьютер, юристы, подготовка заявки, но это всё вопросы технические, и их решение давно отработано.
О чём говорит наличие у компании, занимающейся ИБ, такой лицензии? О том, что она потратила немного времени и немного денег, чтобы её получить. Говорит ли она о компетенциях компании? Нет. Приведу простой пример.
Допустим, я (Артём), хочу создать интегратор ООО «Рога и Копыта». Я думаю — окей, мне нужна лицензия! Я нанимаю Антона (на полный день), ещё пару знакомых парней с опытом в ИБ на part-time, снимаю офис в Ново-Мухоморово, трачу немного денег на аутсорс всего остального и... всё. Через 3 месяца у меня есть лицензия. При этом сотрудники (кроме главного) будут числиться у меня номинально, и платить я им буду 3 копейки — они всё равно на меня не работают.
Вот только реальных сотрудников у меня всё ещё не будет — я могу прикрываться сертификатами Антона и парней, участвовать в тендерах, но в реальности всё, что я могу — перепродавать контракты. Причём если я совсем жадный, то продавать я их буду студентам (зря что ли Антон лекции свои читает), а парней попрошу посмотреть, совсем треш они сделали или прокатит.
При этом с точки зрения наличия лицензии — я молодец. А с точки зрения здравого смысла — не очень. Тут классическое «автомат купил, воевать не купил», и лицензия в реальности превращается в подобие патента, необходимого для работы. А для клиента, лицензия у исполнителя работ — это шапочка из бумаги. Она не защищает ни от чего и ничего не гарантирует.
В общем, мы это всё к чему. Лицензию мы, конечно, получим. Вот только от её наличия мы ни лучше, ни хуже не станем.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
👍27🤔6😁2🔥1🗿1
Почему иногда просят включить телефон/планшет на досмотре?
Ответ для канала Александра Картавых.
С начала 2000-ых телефоны активно взрывались. Чеченские террористы не только активно их использовали как детонатор, но и как вполне самостоятельное взрывное устройство. В таком виде в его корпусе от самого телефона оставалось мало чего, а основной объём занимала взрывчатка. Начиненный подобным образом "телефон-бомба" на проверке не включится, да и зачастую его корпус будет выглядеть необычно. В таком случае сотрудники досмотра, обычно предлагают зарядку, а если проверяемый отказываться от подключения устройства к сети, устройство изымают для изучения.
А были ли те, которые включались?
Да, конечно. Он даже звонил! Доподлинно известно о случае, когда телефон во время разговора передали жертве - высокопоставленному члену ХАМАС. После чего телефон взорвался, это была точечная ликвидация и работа спецслужб. Подобную операцию показали в современном сериале "Тегеран". Но очевидно, охрана в аэропорту и метро не должна ловить шпионов мирового уровня =) Защита от менее квалифицированных угроз.
Почему просят не всегда?
Любая проверка избирательна, да и уровни тщательности досмотра зависят от множества факторов. Поэтому в одном и том же аэропорту/метро в зависимости от "усиления" какие-либо проверки могут быть обязательными, выборочными или их может не быть вовсе.
P.S. Зашел я как-то в аэропорт в Чехии, просто зашел через раздвижные двери. Оказался в зоне регистрации, и меня остановила мысль "Я зашел там, где выход, где охрана? Она меня сейчас остановит?". Через секунду вспомнил, я в Чехии, тут нет проверок на входе в аэропорт, тут аэропорты не взрывали.
Ответ для канала Александра Картавых.
С начала 2000-ых телефоны активно взрывались. Чеченские террористы не только активно их использовали как детонатор, но и как вполне самостоятельное взрывное устройство. В таком виде в его корпусе от самого телефона оставалось мало чего, а основной объём занимала взрывчатка. Начиненный подобным образом "телефон-бомба" на проверке не включится, да и зачастую его корпус будет выглядеть необычно. В таком случае сотрудники досмотра, обычно предлагают зарядку, а если проверяемый отказываться от подключения устройства к сети, устройство изымают для изучения.
А были ли те, которые включались?
Да, конечно. Он даже звонил! Доподлинно известно о случае, когда телефон во время разговора передали жертве - высокопоставленному члену ХАМАС. После чего телефон взорвался, это была точечная ликвидация и работа спецслужб. Подобную операцию показали в современном сериале "Тегеран". Но очевидно, охрана в аэропорту и метро не должна ловить шпионов мирового уровня =) Защита от менее квалифицированных угроз.
Почему просят не всегда?
Любая проверка избирательна, да и уровни тщательности досмотра зависят от множества факторов. Поэтому в одном и том же аэропорту/метро в зависимости от "усиления" какие-либо проверки могут быть обязательными, выборочными или их может не быть вовсе.
P.S. Зашел я как-то в аэропорт в Чехии, просто зашел через раздвижные двери. Оказался в зоне регистрации, и меня остановила мысль "Я зашел там, где выход, где охрана? Она меня сейчас остановит?". Через секунду вспомнил, я в Чехии, тут нет проверок на входе в аэропорт, тут аэропорты не взрывали.
Telegram
Картавых Александр
Сегодня в метро еду и тормозят меня на рамке, сумочку проверить. Ну, проверили, как обычно. После чего я из карманов достал телефон, зажигалку, чутка мелочи и сам через рамку прошел.
А вот потом случилась странность. Скрипт сломался и сотрудник меня попросил…
А вот потом случилась странность. Скрипт сломался и сотрудник меня попросил…
👍35🔥1👏1😁1
Аудит и анализ защищенности vs пентест — как понять, что вам нужно?
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.
👍12🤔3🔥2
С чего начать построение ИБ в компании
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.
👍15🔥1
Форум агентства стратегических инициатив
Мы всегда сложно относились к государственным агентствам. Точнее скажем так — мы привыкли, что они занимаются какими-то социальными историями, и или наглухо забюрократизированные, или просто нищие как церковные мыши. Иннополис (в котором мы зарегистрированы) предложил нам поучаствовать в форуме от АСИ. Мы не то, чтобы рвались, но согласились.
На выходе получилось достаточно любопытное мероприятие (хотя для москвичей участвовать проще), с кучей интересных контактов. Некоторые все еще отрабатываем. Посмотрим, что из всего этого выйдет, но пока работа с АСИ производит достаточно приятное впечатление. Как будут новости - обязательно напишем. Из забавного — очень много людей из медийки, ну и в Ведомости попали.
Точно о статусе партнерства с АСИ мы, я надеюсь, напишем на следующей неделе.
Мы всегда сложно относились к государственным агентствам. Точнее скажем так — мы привыкли, что они занимаются какими-то социальными историями, и или наглухо забюрократизированные, или просто нищие как церковные мыши. Иннополис (в котором мы зарегистрированы) предложил нам поучаствовать в форуме от АСИ. Мы не то, чтобы рвались, но согласились.
На выходе получилось достаточно любопытное мероприятие (хотя для москвичей участвовать проще), с кучей интересных контактов. Некоторые все еще отрабатываем. Посмотрим, что из всего этого выйдет, но пока работа с АСИ производит достаточно приятное впечатление. Как будут новости - обязательно напишем. Из забавного — очень много людей из медийки, ну и в Ведомости попали.
Точно о статусе партнерства с АСИ мы, я надеюсь, напишем на следующей неделе.
👍10🔥1
Вот, кстати, видео с одного из круглых столов (Артем там начиная с 1:47)
Telegram
WBCMedia
28–29 июня в Центре международной торговли Москвы состоялся форум «Сильные идеи для нового времени».
Организаторами Форума выступили Агентство стратегических инициатив (АСИ) и Фонд Росконгресс, соорганизатор мероприятия — ВЭБ.РФ. Участниками события стали…
Организаторами Форума выступили Агентство стратегических инициатив (АСИ) и Фонд Росконгресс, соорганизатор мероприятия — ВЭБ.РФ. Участниками события стали…
👍12🔥1
Пять стадий принятия кибербезопасности / Антон Бочкарев (Третья сторона) — запись выступления Антона с Saint HighLoad++ 2023.
Компании приходят к ИБ довольно тернистым путем, как его пройти максимально безболезненно - тот еще вопрос.
Доклад посвящен тому, как избежать ошибок на пути трансформации ИБ-функции в компании от состояния "что такое ИБ" до построения адекватных механизмов защиты.
Антон рассказывал об этом впервые, но далеко не последний раз.
Компании приходят к ИБ довольно тернистым путем, как его пройти максимально безболезненно - тот еще вопрос.
Доклад посвящен тому, как избежать ошибок на пути трансформации ИБ-функции в компании от состояния "что такое ИБ" до построения адекватных механизмов защиты.
Антон рассказывал об этом впервые, но далеко не последний раз.
highload.ru
Профессиональная конференция разработчиков высоконагруженных систем 2023
👍9🔥1
Как Тинькофф клиентские данные с Госуслуг собирает
Тут Тинькофф начал предлагать пользователям дать им доступ к данным пользователей с Госуслуг, мотивируя это требованиями 115-ФЗ (противодействие легализации доходов, полученных преступным путем). Сам банк пишет о том, что ему нужны данные паспорта, прав и других документов.
Правда, в реальности он запрашивает доступ к ГОРАЗДО большему объему информации. Здесь и доходы, и НДФЛ, соцвыплаты, транспортные средства и недвижимость. В общем, информация выглядит откровенно избыточной.
Объяснений тут может быть два. Наиболее friendly для банка — это упрощение жизни клиентов, по которым финмониторинг обнаружил сомнительные операции. То есть клиент не морочится со сбором документов, банк собирает все сам. Кстати, про 115 ФЗ для физиков они пишут вот так.
Но реальность на наш взгляд куда прозаичнее. Под видом "упрощения жизни клиента", банк просто собирает пользовательские данные. Достаточно посмотреть цель обработки (второй скриншот), и там прямо написано: "формирование финансовых и нефинансовых предложений". То есть банк просто хочет больше данных для того, чтобы его модели работали лучше, а предодобренные кредиты лучше продавались и имели меньший уровень просрочки. Ни к какому 115-ФЗ (на который банк ссылается в письме) эта история, на наш взгляд, отношения не имеет.
Мораль: смотрите, кто и зачем собирает ваши данные. Это история не только про банки (наиболее защищенные с точки зрения ИБ организации), но и про любые другие компании. Их интерес понятен — вопрос в том, хотите ли вы давать им эту информацию.
Тут Тинькофф начал предлагать пользователям дать им доступ к данным пользователей с Госуслуг, мотивируя это требованиями 115-ФЗ (противодействие легализации доходов, полученных преступным путем). Сам банк пишет о том, что ему нужны данные паспорта, прав и других документов.
Правда, в реальности он запрашивает доступ к ГОРАЗДО большему объему информации. Здесь и доходы, и НДФЛ, соцвыплаты, транспортные средства и недвижимость. В общем, информация выглядит откровенно избыточной.
Объяснений тут может быть два. Наиболее friendly для банка — это упрощение жизни клиентов, по которым финмониторинг обнаружил сомнительные операции. То есть клиент не морочится со сбором документов, банк собирает все сам. Кстати, про 115 ФЗ для физиков они пишут вот так.
Но реальность на наш взгляд куда прозаичнее. Под видом "упрощения жизни клиента", банк просто собирает пользовательские данные. Достаточно посмотреть цель обработки (второй скриншот), и там прямо написано: "формирование финансовых и нефинансовых предложений". То есть банк просто хочет больше данных для того, чтобы его модели работали лучше, а предодобренные кредиты лучше продавались и имели меньший уровень просрочки. Ни к какому 115-ФЗ (на который банк ссылается в письме) эта история, на наш взгляд, отношения не имеет.
Мораль: смотрите, кто и зачем собирает ваши данные. Это история не только про банки (наиболее защищенные с точки зрения ИБ организации), но и про любые другие компании. Их интерес понятен — вопрос в том, хотите ли вы давать им эту информацию.
👍36🤔12🤯3🔥2👎1
Китайский политический шпионаж? Выводы по взлому Майкрософт
Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический.
Что известно на данный момент?
- Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем.
- Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов.
- Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована.
- Майкрософт продолжают расследование.
А вот теперь выводы из всего этого:
0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут?
С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так.
Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт.
Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера?
А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.
Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический.
Что известно на данный момент?
- Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем.
- Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов.
- Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована.
- Майкрософт продолжают расследование.
А вот теперь выводы из всего этого:
0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут?
С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так.
Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт.
Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера?
А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
👍13😁7🔥1
Опечатки и порочные практики как угроза информационной безопасности
Мы привыкли, что основные угрозы в ИБ связаны так или иначе с действиями злоумышленников. Тем не менее, каждый год происходят сотни случаев разглашения конфиденциальной информации по банальной невнимательности. И кажется, у нас есть совершенно восхитительный пример.
Как известно, в США используют домен .MIL для инфраструктуры, связанной с военными. Сделав всего одну опечатку, .MIL превращается в .ML, а армия США - в Мали (такое государство в Африке). Забавно, но факт — голландский подрядчик, управляющий страновым доменом Мали утверждает, что с 2014 года американские военные отправили 117 тысяч (!) электронных писем в эту страну, а "только в прошлую среду пришло около тысячи". Секретной информации они не содержали, а вот конфиденциальной, включая данные военных и членов их семей, а также дипломатическую переписку — вполне.
Голландский подрядчик утверждает, что с 2014 года он безуспешно пытается донести суть проблемы до американской армии, которая ее просто игнорировала. В Пентагоне заявили, что решают проблему — а тем временем, срок передачи контроля над доменом правительству Мали истекает.
Судя по всему, чтобы решить проблему наверняка, американцам стоит переименовать Мали. По крайней мере, это будет проще, чем отучить людей совершать ошибки.
Мы привыкли, что основные угрозы в ИБ связаны так или иначе с действиями злоумышленников. Тем не менее, каждый год происходят сотни случаев разглашения конфиденциальной информации по банальной невнимательности. И кажется, у нас есть совершенно восхитительный пример.
Как известно, в США используют домен .MIL для инфраструктуры, связанной с военными. Сделав всего одну опечатку, .MIL превращается в .ML, а армия США - в Мали (такое государство в Африке). Забавно, но факт — голландский подрядчик, управляющий страновым доменом Мали утверждает, что с 2014 года американские военные отправили 117 тысяч (!) электронных писем в эту страну, а "только в прошлую среду пришло около тысячи". Секретной информации они не содержали, а вот конфиденциальной, включая данные военных и членов их семей, а также дипломатическую переписку — вполне.
Голландский подрядчик утверждает, что с 2014 года он безуспешно пытается донести суть проблемы до американской армии, которая ее просто игнорировала. В Пентагоне заявили, что решают проблему — а тем временем, срок передачи контроля над доменом правительству Мали истекает.
Судя по всему, чтобы решить проблему наверняка, американцам стоит переименовать Мали. По крайней мере, это будет проще, чем отучить людей совершать ошибки.
Engadget
An email typo has reportedly sent millions of US military messages to Mali
A typo has reportedly routed millions of US military emails — some containing highly sensitive information — to Mali. The problem stems from entering .ML instead of .MIL for the receiving email address domain. As reported by the Financial Times, the one-letter…
🔥22👍10
3side кибербезопасности
Опечатки и порочные практики как угроза информационной безопасности Мы привыкли, что основные угрозы в ИБ связаны так или иначе с действиями злоумышленников. Тем не менее, каждый год происходят сотни случаев разглашения конфиденциальной информации по банальной…
И вдогонку к предыдущему посту: никакого злого умысла, просто человеческий фактор.
https://xakep.ru/2023/07/19/virustotal-leak/
https://xakep.ru/2023/07/19/virustotal-leak/
XAKEP
На VirusTotal случайно загрузили данные сотен сотрудников спецслужб и крупных компаний
Сотрудник принадлежащей Google платформы VirusTotal случайно загрузил на сайт файл с именами и адресами электронной почты сотен людей, работающих в спецслужбах, министерствах обороны и крупных компаниях по всему миру. В частности, в список попали лица, связанные…
🔥13👍4😁2