Stack Overflow: почему это может быть небезопасно?
Не секрет, что различные разработчики нередко обращаются к stack overflow и другим подобным онлайн-источникам для того, чтобы найти решение своих проблем, сэкономить время и просто понять, как работают те или иные алгоритмы. Проблема в том, что это не всегда безопасно.
Да, это безусловно удобно — готовые лучшие практики, возможность взять уже созданный код и сэкономить время. Такое поведение в итоге формирует фрагменты кода, сгенерированные сообществом и многократно использованные, но при этом влияние такого поведения на безопасность разработки ... как минимум, под вопросом.
Защищенность итогового продукта — штука вообще достаточно важная. Когда мы говорим о чьем-то коде, мы зачастую даже близко не представляем, кем он написан, как, а главное — безопасен ли он. И можно ли им вообще пользоваться в каждой конкретной ситуации.
На эту тему есть множество исследований — например, здесь говорят о том, что около 15% из 1,3 миллионов проанализированных android-приложений содержали фрагменты кода, найденные (или размещенные) на stackoverflow, и 97,9 из них содержат как минимум один небезопасный фрагмент.
В идеальном варианте, любой размещаемый там код должен быть проанализирован на предмет безопасности. Да, в реалиях работы со свободно распространяемым программным обеспечением это утопия ... но тут ведь как. Бездумное копирование уже готовых решений иногда выглядит ещё хуже.
А что можно сделать для своей компании?
Заблокировать Stack Overflow. Построить процесс безопасной разработки (SSDLC)! Это многогранный процесс включающий автоматический анализ кода, обучение основам безопасной разработки и контроль на всех этапах.
Мы готовы бесплатно проконсультировать вас или построить для вас SSDLC, исходя из вашего бюджета.
Не секрет, что различные разработчики нередко обращаются к stack overflow и другим подобным онлайн-источникам для того, чтобы найти решение своих проблем, сэкономить время и просто понять, как работают те или иные алгоритмы. Проблема в том, что это не всегда безопасно.
Да, это безусловно удобно — готовые лучшие практики, возможность взять уже созданный код и сэкономить время. Такое поведение в итоге формирует фрагменты кода, сгенерированные сообществом и многократно использованные, но при этом влияние такого поведения на безопасность разработки ... как минимум, под вопросом.
Защищенность итогового продукта — штука вообще достаточно важная. Когда мы говорим о чьем-то коде, мы зачастую даже близко не представляем, кем он написан, как, а главное — безопасен ли он. И можно ли им вообще пользоваться в каждой конкретной ситуации.
На эту тему есть множество исследований — например, здесь говорят о том, что около 15% из 1,3 миллионов проанализированных android-приложений содержали фрагменты кода, найденные (или размещенные) на stackoverflow, и 97,9 из них содержат как минимум один небезопасный фрагмент.
В идеальном варианте, любой размещаемый там код должен быть проанализирован на предмет безопасности. Да, в реалиях работы со свободно распространяемым программным обеспечением это утопия ... но тут ведь как. Бездумное копирование уже готовых решений иногда выглядит ещё хуже.
А что можно сделать для своей компании?
Мы готовы бесплатно проконсультировать вас или построить для вас SSDLC, исходя из вашего бюджета.
👍15🔥1😁1🤔1
С наступающим!
Пусть этот год принесёт вам спокойствие, успех и процветание.
Здоровья и терпения всем вам и вашим близким.
Все мы тратим много времени на работу и другие дела, и часто незаслуженно обделяем вниманием тех, кто нам дорог и кто всегда рядом.
Новый год — это отличный повод остановиться и провести время с такими людьми.
Всех благ!
Сооснователи 3side Артем Наливайко и Антон Бочкарев
Пусть этот год принесёт вам спокойствие, успех и процветание.
Здоровья и терпения всем вам и вашим близким.
Все мы тратим много времени на работу и другие дела, и часто незаслуженно обделяем вниманием тех, кто нам дорог и кто всегда рядом.
Новый год — это отличный повод остановиться и провести время с такими людьми.
Всех благ!
Сооснователи 3side Артем Наливайко и Антон Бочкарев
👍26🔥1
Написали статью для РБК Про о том, почему Россия теряет одних из самых важных специалистов по кибербезопасности и что с этим сделать.
(статья под пейволом, но про то, что такое уязвимости нулевого дня тут вряд-ли надо кому-то рассказывать)
Самые яркие примеры, о которых мы вообще говорим:
- История офигенно талантливой Алисы Esage Шевченко, компания которой одна из первых попала под международные санкции и была отрезана от международного рынка кибербеза. Причем причины до сих пор не до конца понятны — просто так вышло.
- История компании Digital Security, потерявшей одну из сильнейших своих команд, после обвинения в помощи во вмешательстве в выборы в США и жесточайших международных санкций. Причем там с доказательствами была проблема, но тут хватило даже просто "подозрений и заявлений".
И DSec и компания Алисы до санкций имели большие международные амбиции. В результате бОльшая часть команды DSec, как и Алиса покинули Россию.
Почему так происходит, что с этим делать, все в статье. Но общий смысл простой — продолжение работы в России и на Россию действительно может стоить карьеры. И вот получается два варианта — или уезжать (просто чтобы работать не опасаясь санкций), или окончательно привязывать свою карьеру к работе на государство. И то, и другое — выбор уж очень специфический. Ну а что с этим делать ... защищать, защищать своих лучших специалистов. Причем тут речь про совершенно разные вещи — и возможность "непублично" делать свою работу, и условия контракта, и многое другое. Проблема решается деньгами, но не только деньгами.
Отдельно, исключительно для нашего канала, хотели бы отметить, что вместо того, чтобы решать подобные проблемы, наши силовые структуры предпочитают работать с откровенным киберкриминалом. Ну, то есть кардерами, рансомом (кибервымогателями) и прочими гражданами сомнительных этических качеств. Почему? А всё просто. Во-первых, на них проще надавить. С сильным "белым" специалистом по ИБ всегда нужно договариваться — с криминалом можно обойтись угрозами. Во-вторых, у некоторых нечистых на руку силовиков появляется возможность получать долю с их криминальных доходов, а шантажировать кардера не сложно. А то, что один про уровню профессионализма превосходит другого на 2-3 головы, никого не волнует.
Кстати. В отличие от государства, коммерческие компании по кибербезопасности с бывшими представителями киберкриминала не работают. В отличие от государства. Как говорится — догадайтесь, почему.
(статья под пейволом, но про то, что такое уязвимости нулевого дня тут вряд-ли надо кому-то рассказывать)
Самые яркие примеры, о которых мы вообще говорим:
- История офигенно талантливой Алисы Esage Шевченко, компания которой одна из первых попала под международные санкции и была отрезана от международного рынка кибербеза. Причем причины до сих пор не до конца понятны — просто так вышло.
- История компании Digital Security, потерявшей одну из сильнейших своих команд, после обвинения в помощи во вмешательстве в выборы в США и жесточайших международных санкций. Причем там с доказательствами была проблема, но тут хватило даже просто "подозрений и заявлений".
И DSec и компания Алисы до санкций имели большие международные амбиции. В результате бОльшая часть команды DSec, как и Алиса покинули Россию.
Почему так происходит, что с этим делать, все в статье. Но общий смысл простой — продолжение работы в России и на Россию действительно может стоить карьеры. И вот получается два варианта — или уезжать (просто чтобы работать не опасаясь санкций), или окончательно привязывать свою карьеру к работе на государство. И то, и другое — выбор уж очень специфический. Ну а что с этим делать ... защищать, защищать своих лучших специалистов. Причем тут речь про совершенно разные вещи — и возможность "непублично" делать свою работу, и условия контракта, и многое другое. Проблема решается деньгами, но не только деньгами.
Отдельно, исключительно для нашего канала, хотели бы отметить, что вместо того, чтобы решать подобные проблемы, наши силовые структуры предпочитают работать с откровенным киберкриминалом. Ну, то есть кардерами, рансомом (кибервымогателями) и прочими гражданами сомнительных этических качеств. Почему? А всё просто. Во-первых, на них проще надавить. С сильным "белым" специалистом по ИБ всегда нужно договариваться — с криминалом можно обойтись угрозами. Во-вторых, у некоторых нечистых на руку силовиков появляется возможность получать долю с их криминальных доходов, а шантажировать кардера не сложно. А то, что один про уровню профессионализма превосходит другого на 2-3 головы, никого не волнует.
Кстати. В отличие от государства, коммерческие компании по кибербезопасности с бывшими представителями киберкриминала не работают. В отличие от государства. Как говорится — догадайтесь, почему.
РБК Pro
Свидетели «нулевого дня»: чем рискуют в России лучшие
Уязвимость «нулевого дня» (от англ. zero day, 0-day) — недостаток ПО, неизвестный создателям и антивирусам. Если ее найдут злоумышленники, то смогут успешно вести кибератаки. Антон Бочкарев («Третья
👍30🤔4👎1🔥1🤡1
Всем привет!
К сожалению, многие события в мире ИБ сейчас прямо связаны с политической ситуацией. То есть взломы, утечки, хактивизм и работа организованных групп против российской инфраструктуры была всегда, просто сейчас ее интенсивность возросла многократно.
Мы не можем не комментировать происходящее, но хотели бы делать это с профессиональной точки зрения, абстрагируясь от вопросов в духе "кто прав" и "почему так вышло". Нас и наших клиентов, как вы можете догадаться, эта ситуация тоже очень сильно затронула.
А говорить об этом надо в том числе потому, что картина угроз в ИБ за последний год изменилась, а в новом году изменится еще больше. Так что мы вводим рубрику #3side_безполитики, где будем рассказывать о текущей ситуации, угрозах и в том числе — нашей работе.
К сожалению, многие события в мире ИБ сейчас прямо связаны с политической ситуацией. То есть взломы, утечки, хактивизм и работа организованных групп против российской инфраструктуры была всегда, просто сейчас ее интенсивность возросла многократно.
Мы не можем не комментировать происходящее, но хотели бы делать это с профессиональной точки зрения, абстрагируясь от вопросов в духе "кто прав" и "почему так вышло". Нас и наших клиентов, как вы можете догадаться, эта ситуация тоже очень сильно затронула.
А говорить об этом надо в том числе потому, что картина угроз в ИБ за последний год изменилась, а в новом году изменится еще больше. Так что мы вводим рубрику #3side_безполитики, где будем рассказывать о текущей ситуации, угрозах и в том числе — нашей работе.
👍33🤔2🔥1
Что такое кибербезопасность?
Мы тут с некоторым удивлением поняли, что зачастую многие люди не до конца понимают суть того, что называется кибербезопасностью. И довольно часто мы слышим два утверждения, в которых есть определенный смысл, но каждое из которых является ложным.
От всех угроз все равно не получится защититься
Да, это так. Когда-то одного командующего ВВС спросили, можно ли снизить аварийность до нуля? Он сказал, что можно - надо просто запретить полеты. С любым управлением рисками история именно такая - но идея здесь именно в том, чтобы минимизировать риски оптимально для бизнеса. Если компании, которым хватит регулярно обновляемого антивируса. Есть компании, которым разумно потратить миллиарды на безопасность. И ситуация не обязана быть идеальной - она должна быть управляемой, а каждому бизнесу нужен свой уровень защиты. Кстати, одна из наших задач - помчь понять, что подходит конкретно вам.
Мы работаем уже пять лет, и ничего не случилось
Да, но нет никаких гарантий, что не случится завтра. Мир меняется, угрозы меняются, а вчера было вчера. Все случается впервые.
Оптимальная ситуация - это когда бизнес осознает риски, и либо принимает их, либо пытается что-то менять. В любом случае, это должно быть осознанным решением, а не попыткой спрятать голову от реальности в привычный песок.
Мы тут с некоторым удивлением поняли, что зачастую многие люди не до конца понимают суть того, что называется кибербезопасностью. И довольно часто мы слышим два утверждения, в которых есть определенный смысл, но каждое из которых является ложным.
От всех угроз все равно не получится защититься
Да, это так. Когда-то одного командующего ВВС спросили, можно ли снизить аварийность до нуля? Он сказал, что можно - надо просто запретить полеты. С любым управлением рисками история именно такая - но идея здесь именно в том, чтобы минимизировать риски оптимально для бизнеса. Если компании, которым хватит регулярно обновляемого антивируса. Есть компании, которым разумно потратить миллиарды на безопасность. И ситуация не обязана быть идеальной - она должна быть управляемой, а каждому бизнесу нужен свой уровень защиты. Кстати, одна из наших задач - помчь понять, что подходит конкретно вам.
Мы работаем уже пять лет, и ничего не случилось
Да, но нет никаких гарантий, что не случится завтра. Мир меняется, угрозы меняются, а вчера было вчера. Все случается впервые.
Оптимальная ситуация - это когда бизнес осознает риски, и либо принимает их, либо пытается что-то менять. В любом случае, это должно быть осознанным решением, а не попыткой спрятать голову от реальности в привычный песок.
👍22🔥1
Немного статистики за 2022 год от багбаути платформы HackerOne!
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.
👍10🔥1
Такой разный хактивизм
В последние годы, а особенно с февраля 2022 года, хактивизм приобрел исключительно политический характер. Под него и ранее маскировали работы прогосударственных APT-групп, сейчас же это явления стало массовым. К политическому и деструктивному хактивизму отношение у индустрии кибербеза однозначно негативное. Но бывают и иные акции, которые преследуют не политические, а исключительно идеологические цели в стиле Манифеста Хакера.
Помните, десяток лет назад был такой хактивист Аарон Шварц? Он выступал за свободный Интернет и свободу распространения информации в нем, базовые для многих хакеров да и просто современных людей убеждения. Он выгружал и публиковал документы из системы PACER, онлайн библиотеки JSTOR, возглавлял некоммерческую организацию Demand Progress. История его печальна, все награды и премии за свою деятельность он получил посмертно, не выдержав давления и судов над ним в 26 лет. А уже после появилась знаменитая Пиратская Партия в Швеции и в других странах Европы.
А что сейчас? Взломы во имя свободной информации бывают? Да, очень редко.
Позавчера, в том числе и для этих целей была организована утечка данных и софта крупнейшей криминалистической компании Cellebrite. Их решения давно уже стали классикой цифровой криминалистики, например они не раз помогали правоохранителям из различных стран получать доступ к конфискованным смартфонам. По словам хактивистов, часто компания предоставляла доступ и к телефонам журналистов, активистов и политических диссидентов, в явном виде нарушая права человека. Теперь 1.7 ТБ данных Cellebrite можно скачать через сайты DDoSecrets, Enlace Hacktivista или просто через торрент.
Как относиться к подобной акции? Каждый решает сам, исходя из собственных идеологических взглядов.
Но как видите серьезные утечки бывают и у грандов индустрии кибербеза. Любая система – уязвима.
В последние годы, а особенно с февраля 2022 года, хактивизм приобрел исключительно политический характер. Под него и ранее маскировали работы прогосударственных APT-групп, сейчас же это явления стало массовым. К политическому и деструктивному хактивизму отношение у индустрии кибербеза однозначно негативное. Но бывают и иные акции, которые преследуют не политические, а исключительно идеологические цели в стиле Манифеста Хакера.
Помните, десяток лет назад был такой хактивист Аарон Шварц? Он выступал за свободный Интернет и свободу распространения информации в нем, базовые для многих хакеров да и просто современных людей убеждения. Он выгружал и публиковал документы из системы PACER, онлайн библиотеки JSTOR, возглавлял некоммерческую организацию Demand Progress. История его печальна, все награды и премии за свою деятельность он получил посмертно, не выдержав давления и судов над ним в 26 лет. А уже после появилась знаменитая Пиратская Партия в Швеции и в других странах Европы.
А что сейчас? Взломы во имя свободной информации бывают? Да, очень редко.
Позавчера, в том числе и для этих целей была организована утечка данных и софта крупнейшей криминалистической компании Cellebrite. Их решения давно уже стали классикой цифровой криминалистики, например они не раз помогали правоохранителям из различных стран получать доступ к конфискованным смартфонам. По словам хактивистов, часто компания предоставляла доступ и к телефонам журналистов, активистов и политических диссидентов, в явном виде нарушая права человека. Теперь 1.7 ТБ данных Cellebrite можно скачать через сайты DDoSecrets, Enlace Hacktivista или просто через торрент.
Как относиться к подобной акции? Каждый решает сам, исходя из собственных идеологических взглядов.
Но как видите серьезные утечки бывают и у грандов индустрии кибербеза. Любая система – уязвима.
Wikipedia
Hacker Manifesto
manifesto from 1986 by Loyd Blankenship
👍12🔥1
Bizlato закрыта.
Когда я год назад попросил моего товарища порекомендовать мне достаточно конфиденциальную и при этом удобную криптобиржу, он ответил "только Bizlato". Добавил, что не зря название рифмуется с матным словом обозначающим восхищение)
А сегодня в Майями был арестован владелец Bizlato — Анатолий Легкодымов. Обвинение считает, что он отмывал деньги, полученные наркошопами.
И действительно, судя по анализу на скриншотах:
- 18% всех транзакций Биржи были связаны с уже закрытым наркошопом Гидрой, суммарно на $180млн.
- $136 млн от печально известной пирамиды Finiko.
Сайт биржи уже закрыт, будем с интересом наблюдать за судьбой владельца.
Аналитику предоставил тот же товарищ, который когда то мне рекомендовал Bizlato,
Его свежесозданный Твиттер и канал по OSINT, кому интересно.
Когда я год назад попросил моего товарища порекомендовать мне достаточно конфиденциальную и при этом удобную криптобиржу, он ответил "только Bizlato". Добавил, что не зря название рифмуется с матным словом обозначающим восхищение)
А сегодня в Майями был арестован владелец Bizlato — Анатолий Легкодымов. Обвинение считает, что он отмывал деньги, полученные наркошопами.
И действительно, судя по анализу на скриншотах:
- 18% всех транзакций Биржи были связаны с уже закрытым наркошопом Гидрой, суммарно на $180млн.
- $136 млн от печально известной пирамиды Finiko.
Сайт биржи уже закрыт, будем с интересом наблюдать за судьбой владельца.
Аналитику предоставил тот же товарищ, который когда то мне рекомендовал Bizlato,
Его свежесозданный Твиттер и канал по OSINT, кому интересно.
👍13🤡9🔥1
Новый инструмент хакера: можно ли с помощью ChatGPT создать вредоносное ПО?
В настоящее время вокруг ChatGPT возник вал новостей. Например, пишут, что исследователи сумели использовать его для написания вредоносного кода. При этом, разбирая исходный отчет, мы видим, что “самообучающиеся” чат-боты находятся в самом начале своего пути в роли создателей кода, в том числе и вирусов,, и нет никаких гарантий, что в обозримом будущем они будут эффективно генерироваться без значимого участия человека.
Так может ли ChatGPT представлять угрозу и породить вирусы нового поколения? Возможно, но пока этого не произошло.
Новые технологии всегда привлекали интерес – особенно те из них, которые способны подменять собой человеческое сознание. ChatGPT, ставший знаменитый чат-бот от OpenAI – одна из таких технологий. Он уверенно прошел тест Тьюринга, и теперь используется для множества задач. Точнее, его пытаются использовать. Вот только … так ли он хорош во всем?
Например, пишут, что исследователи сумели использовать его для написания вредоносного кода. При этом, разбирая исходный отчет, мы видим, что “самообучающиеся” чат-боты находятся в самом начале своего пути в роли создателей кода, в том числе и вирусов,, и нет никаких гарантий, что в обозримом будущем они будут эффективно генерироваться без значимого участия человека.
Но самое интересное – в другом. Большая часть времени у создателей “вируса” ушла не на собственно процесс его создания или обучения бота – а на то, чтобы заставить этого самого бота обойти изначально заложенные в нем ограничения на создание “нелегального” контента. В конце концов, им это удалось, и сам этот факт уже можно считать важным результатом … только к применению ChatGPT для целей создания вредоносных программ он имеет очень опосредованное отношение.
В итоге, ChatGPT действительно может позволить “оптимизировать” работу хакера, или помочь начинающему злоумышленнику без серьезных навыков программирования начать что-то генерировать(пользуясь случаем, напоминаем о ст. 272 УК РФ). Он действительно может помочь создать код вредоносного ПО – правда есть большие сомнения, будет ли он так же эффективен как код, написанный профессионалами. А главное – отдельные участки кода все еще достаточно сложно заменить, и именно они могут привлечь внимание вирусных аналитиков.
И вот в этом – главный вопрос, касающийся “полиморфного” вируса, созданного в рамках ChatGPT. Судя по всему, никто из исследователей не проверял его на реальном антивирусном ПО, а оценивал именно теоретическую возможность создания такого рода программ. И да, такая возможность есть, только практической пользы от нее пока-что нет. Полиморфные вирусы существуют уже множество лет, их особенности известны, и способы защиты от них известны: если базы сигнатур и не работают, то есть HIPS, и эвристический анализ. А главное – полиморфный вирус в любом случае не обладает, например, ультимативностью уязвимостей 0-го дня, бороться с которыми зачастую невозможно.
Возможно, известные базы сигнатур ему удастся обойти. Но современное антивирусное ПО работает немного иначе, а подменить цели работы вредоносной программы никакой полиморфизм не позволяет.
Так что пока мы видим отличный инструмент – для прототипирования, для оптимизации привычных и тривиальных операций. В случае с IT-индустрией он наверняка станет отличным инструментом для помощи разработчику. А вот что касается ИБ – вопрос гораздо сложнее. В кибербезопасности многое зависит от умения видеть более сложные взаимосвязи и быть достаточно изобретательным – а “роботы” этому пока не научились.
Резюмируя: большинство уже имеющихся исследований ChatGPT посвящены в первую очередь оценке возможности создания с его помощью вирусов и различным механизмам “обхода” внутренних ограничений бота.Мы сомневаемся, что ChatGPT возможно будет эффективно использовать в ИБ-индустрии. Будем следить за развитием событий.
В настоящее время вокруг ChatGPT возник вал новостей. Например, пишут, что исследователи сумели использовать его для написания вредоносного кода. При этом, разбирая исходный отчет, мы видим, что “самообучающиеся” чат-боты находятся в самом начале своего пути в роли создателей кода, в том числе и вирусов,, и нет никаких гарантий, что в обозримом будущем они будут эффективно генерироваться без значимого участия человека.
Так может ли ChatGPT представлять угрозу и породить вирусы нового поколения? Возможно, но пока этого не произошло.
Новые технологии всегда привлекали интерес – особенно те из них, которые способны подменять собой человеческое сознание. ChatGPT, ставший знаменитый чат-бот от OpenAI – одна из таких технологий. Он уверенно прошел тест Тьюринга, и теперь используется для множества задач. Точнее, его пытаются использовать. Вот только … так ли он хорош во всем?
Например, пишут, что исследователи сумели использовать его для написания вредоносного кода. При этом, разбирая исходный отчет, мы видим, что “самообучающиеся” чат-боты находятся в самом начале своего пути в роли создателей кода, в том числе и вирусов,, и нет никаких гарантий, что в обозримом будущем они будут эффективно генерироваться без значимого участия человека.
Но самое интересное – в другом. Большая часть времени у создателей “вируса” ушла не на собственно процесс его создания или обучения бота – а на то, чтобы заставить этого самого бота обойти изначально заложенные в нем ограничения на создание “нелегального” контента. В конце концов, им это удалось, и сам этот факт уже можно считать важным результатом … только к применению ChatGPT для целей создания вредоносных программ он имеет очень опосредованное отношение.
В итоге, ChatGPT действительно может позволить “оптимизировать” работу хакера, или помочь начинающему злоумышленнику без серьезных навыков программирования начать что-то генерировать(пользуясь случаем, напоминаем о ст. 272 УК РФ). Он действительно может помочь создать код вредоносного ПО – правда есть большие сомнения, будет ли он так же эффективен как код, написанный профессионалами. А главное – отдельные участки кода все еще достаточно сложно заменить, и именно они могут привлечь внимание вирусных аналитиков.
И вот в этом – главный вопрос, касающийся “полиморфного” вируса, созданного в рамках ChatGPT. Судя по всему, никто из исследователей не проверял его на реальном антивирусном ПО, а оценивал именно теоретическую возможность создания такого рода программ. И да, такая возможность есть, только практической пользы от нее пока-что нет. Полиморфные вирусы существуют уже множество лет, их особенности известны, и способы защиты от них известны: если базы сигнатур и не работают, то есть HIPS, и эвристический анализ. А главное – полиморфный вирус в любом случае не обладает, например, ультимативностью уязвимостей 0-го дня, бороться с которыми зачастую невозможно.
Возможно, известные базы сигнатур ему удастся обойти. Но современное антивирусное ПО работает немного иначе, а подменить цели работы вредоносной программы никакой полиморфизм не позволяет.
Так что пока мы видим отличный инструмент – для прототипирования, для оптимизации привычных и тривиальных операций. В случае с IT-индустрией он наверняка станет отличным инструментом для помощи разработчику. А вот что касается ИБ – вопрос гораздо сложнее. В кибербезопасности многое зависит от умения видеть более сложные взаимосвязи и быть достаточно изобретательным – а “роботы” этому пока не научились.
Резюмируя: большинство уже имеющихся исследований ChatGPT посвящены в первую очередь оценке возможности создания с его помощью вирусов и различным механизмам “обхода” внутренних ограничений бота.Мы сомневаемся, что ChatGPT возможно будет эффективно использовать в ИБ-индустрии. Будем следить за развитием событий.
👍15🔥1
Все слышали про Анонимус, но почему-то мало кто помнит, что же они такое.
А потом удивляются, почему в их понимании "хакерская группировка" так быстро меняет свое мнение и просто переобувается на лету?
Анонимус — это движение активистов\хактивистов, объединенное общей идеей. Они — своего рода площадка, где люди могут найти себе команду со схожими целями и интересами. У них нет лидера, нет идеалогии, нет централизованного управления.
Когда в мире происходят какие-либо громкие политические события, на площадке Анонимус, создавались каналы, где люди объединялись и пытались на эти процессы как-то влиять. При это очень часто создавались диаметрально противоположные по взглядам и целям каналы! То есть разные люди могли поддерживать разные стороны. И все они — "Анонимус". Как и сейчас, находятся хактивисты, которые поддерживают Россию и вокруг них на площадке Анонимус собираются люди. И находятся те, кто выступает против, таких обычно там больше, просто потому, что основа площадки - англоязычная. И каждое из этих объединений с совершенно противоположными целями может называть себя Anonymous, и будет право!
А еще есть Anonymous Russia, но там немного сложнее — они все хактивисты из России, поэтому там мало кто "переобувается", и это просто разные группы на одной площадке, и под одним брендом.
А потом удивляются, почему в их понимании "хакерская группировка" так быстро меняет свое мнение и просто переобувается на лету?
Анонимус — это движение активистов\хактивистов, объединенное общей идеей. Они — своего рода площадка, где люди могут найти себе команду со схожими целями и интересами. У них нет лидера, нет идеалогии, нет централизованного управления.
Когда в мире происходят какие-либо громкие политические события, на площадке Анонимус, создавались каналы, где люди объединялись и пытались на эти процессы как-то влиять. При это очень часто создавались диаметрально противоположные по взглядам и целям каналы! То есть разные люди могли поддерживать разные стороны. И все они — "Анонимус". Как и сейчас, находятся хактивисты, которые поддерживают Россию и вокруг них на площадке Анонимус собираются люди. И находятся те, кто выступает против, таких обычно там больше, просто потому, что основа площадки - англоязычная. И каждое из этих объединений с совершенно противоположными целями может называть себя Anonymous, и будет право!
А еще есть Anonymous Russia, но там немного сложнее — они все хактивисты из России, поэтому там мало кто "переобувается", и это просто разные группы на одной площадке, и под одним брендом.
👍19🔥5
Больше текстов?
Некоторые наши уважаемые коллеги гонятся за количеством новостей по ИБ, и зачастую в ущерб качеству. Ведь невнимательно прочитав источник, или не понимая специфики, можно действительно создать сенсацию. Вот только от реальности она будет далека.
Когда я прочел, что JPG изображение скачивает MSI-пейлоад, то первой мыслью было: "Уязвимость стандартного приложения Windows?!". Это было бы громким вектором, но как оказалось в источнике, отправлялся жертвам не ".jpg", а ".jpg.lnk". Спутали двойное расширение? Так же, как и жертвы атаки?
А уж вектор с ".lnk" файлами стар и известен всем, кто когда-либо занимался фишингом. Мы потому и не поддерживаем политику рерайта новостей теми, кто не достаточно разбирается в вопросе, ведь у него не случится триггер на заявление подобное выделенному.
Текстов лучше меньше, зато эксклюзивных и качественных.
P.S. Мы намеренно не указали, кто же из коллег ошибся.
Некоторые наши уважаемые коллеги гонятся за количеством новостей по ИБ, и зачастую в ущерб качеству. Ведь невнимательно прочитав источник, или не понимая специфики, можно действительно создать сенсацию. Вот только от реальности она будет далека.
Когда я прочел, что JPG изображение скачивает MSI-пейлоад, то первой мыслью было: "Уязвимость стандартного приложения Windows?!". Это было бы громким вектором, но как оказалось в источнике, отправлялся жертвам не ".jpg", а ".jpg.lnk". Спутали двойное расширение? Так же, как и жертвы атаки?
А уж вектор с ".lnk" файлами стар и известен всем, кто когда-либо занимался фишингом. Мы потому и не поддерживаем политику рерайта новостей теми, кто не достаточно разбирается в вопросе, ведь у него не случится триггер на заявление подобное выделенному.
Текстов лучше меньше, зато эксклюзивных и качественных.
P.S. Мы намеренно не указали, кто же из коллег ошибся.
🔥22👍8
Служба защиты и нападения — информационная безопасности глазами профи
"Как выглядит изнутри служба ИБ, чем внутренняя безопасность отличается от внешней и почему не надо бояться хакеров — в разговоре с Антоном Бочкарёвым".
У Антона тут вышло крутое интервью о том, что такое ИБ, чем оно отличается от IT, как работают люди в этой замечательной индустрии и чего стоит (и не стоит) бояться. В общем, рекомендую!
Кстати, подписывайтесь на наш канал — там много всего из мира ИБ.
"Как выглядит изнутри служба ИБ, чем внутренняя безопасность отличается от внешней и почему не надо бояться хакеров — в разговоре с Антоном Бочкарёвым".
У Антона тут вышло крутое интервью о том, что такое ИБ, чем оно отличается от IT, как работают люди в этой замечательной индустрии и чего стоит (и не стоит) бояться. В общем, рекомендую!
Кстати, подписывайтесь на наш канал — там много всего из мира ИБ.
Skillbox
Служба защиты и нападения: информационная безопасность глазами профи
Как выглядит изнутри служба ИБ, чем внутренняя безопасность отличается от внешней и почему не надо бояться хакеров — в разговоре с Антоном Бочкарёвым.
👍11🔥1
Как "служба безопасности банка" клиентов в террористы вербовала, или #3side_безполитики
Вчера случился очередной поджог военкомата: мужчина бросил пару бутылок с зажигательной смесью, одна попала в здание, задержали почти сразу. История не новая, если бы не одно "но" — идти поджигать военкомат мужчину убедили ... телефонные мошенники. Такая вот незатийливая социальная инженерия.
Накануне "террористу" через whatsapp позвонил неизвестный (а кому из нас он не звонил?) и сообщил радостную новость о том, что кто-то оформил на жертву кредит, но деньги можно вернуть, если быстро перевести их на нужные реквизиты. В общем, типовое банковское мошенничество, ничего нового. А вот теперь начинается интересное — на следующий день ему позвонили снова! Доверчивому гражданину рассказали, что деньги все-таки украли, и виноват в этом ... лично участковый! Кстати, прямо сейчас он находится в военкомате, и это отличный повод с ним (участковым, не военкоматом) поквитаться.
В итоге мужчина по инструкции собеседника сделал коктейль Молотова, пошел к зданию военкомата, а о дальнейшем вы знаете. Пишут, что такая фантастическая доверчивость связана с психическим заболеванием, но мы можем уверенно утверждать, что и здорового человека в некоторых ситуациях на подобное развести вполне реально.
Как мы уже писали здесь и здесь, случаи, когда "колл-центр банка" перепрофилируется и вербует людей для проведения терактов (угрозами или убеждением) вполне себе имели место быть. Причем жертвами становились или пенсионеры, или люди, по иной причине оказавшиеся излишне доверчивыми. И это логично — одно дело разводить людей на отправку денег на карту дропа, а другое — убедить его пойти с коктейлем Молотова поджигать военкомат. Надо сказать, занимаются этим люди весьма талантливые, во всех смыслах.
Так что "правило 7%" в очередной раз показало, как оно работает. В следующем посте интересный материал.
Вчера случился очередной поджог военкомата: мужчина бросил пару бутылок с зажигательной смесью, одна попала в здание, задержали почти сразу. История не новая, если бы не одно "но" — идти поджигать военкомат мужчину убедили ... телефонные мошенники. Такая вот незатийливая социальная инженерия.
Накануне "террористу" через whatsapp позвонил неизвестный (а кому из нас он не звонил?) и сообщил радостную новость о том, что кто-то оформил на жертву кредит, но деньги можно вернуть, если быстро перевести их на нужные реквизиты. В общем, типовое банковское мошенничество, ничего нового. А вот теперь начинается интересное — на следующий день ему позвонили снова! Доверчивому гражданину рассказали, что деньги все-таки украли, и виноват в этом ... лично участковый! Кстати, прямо сейчас он находится в военкомате, и это отличный повод с ним (участковым, не военкоматом) поквитаться.
В итоге мужчина по инструкции собеседника сделал коктейль Молотова, пошел к зданию военкомата, а о дальнейшем вы знаете. Пишут, что такая фантастическая доверчивость связана с психическим заболеванием, но мы можем уверенно утверждать, что и здорового человека в некоторых ситуациях на подобное развести вполне реально.
Как мы уже писали здесь и здесь, случаи, когда "колл-центр банка" перепрофилируется и вербует людей для проведения терактов (угрозами или убеждением) вполне себе имели место быть. Причем жертвами становились или пенсионеры, или люди, по иной причине оказавшиеся излишне доверчивыми. И это логично — одно дело разводить людей на отправку денег на карту дропа, а другое — убедить его пойти с коктейлем Молотова поджигать военкомат. Надо сказать, занимаются этим люди весьма талантливые, во всех смыслах.
Так что "правило 7%" в очередной раз показало, как оно работает. В следующем посте интересный материал.
Telegram
3side кибербезопасности
Возможности социальной инженерии.
Когда говорят о социальной инженерии, то ее часто недооценивают. Позиция такова:
"Ну введет пользователь пароль куда не нужно, ну откроет ссылку или даже загрузит что-то, ну и что?
У нас средства защиты все заблокируют,…
Когда говорят о социальной инженерии, то ее часто недооценивают. Позиция такова:
"Ну введет пользователь пароль куда не нужно, ну откроет ссылку или даже загрузит что-то, ну и что?
У нас средства защиты все заблокируют,…
👍14🤯7🔥1🤔1
berdyansk.pdf
6.6 MB
Полное расследование того, как подобные колл-центры организованы и работают, кому интересно - читайте!
👍23🔥6👏3
Вам звонят из банка/полиции/ФСБ, просят что-то сжечь?! Что происходит?
Типичная ситуация, с неизвестных номеров звонили уже почти каждому.
Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей.
Кто они? Почти всегда мошенники с Украины, зарабатывающие уже так годами. А с февраля 2022 года еще и действующие в интересах своей страны.
Почему они работают и их не сажают? Заблокировать международные звонки через интернет невозможно, отследить откуда именно звонят и через каких провайдеров – сложно. В последнее время звонят через вацап, это можете заблокировать только вы, удалив сам вацап. За деятельность по России в Украине не сажают с 2014 года, а с недавних пор и медали дают.
К чему это приводит? Особо доверчивые люди, или люди в нестабильном душевном состоянии (болезнь, горе, эйфория) не только отдают свои деньги, но и готовы выполнять действия, которые им говорит мошенник. К примеру:
- Август 2022. Доверчивой пенсионеркой сожжена машина сотрудника генерального штаба. Об (этом писали тут).
- Октябрь 2022. Доверчивой женщиной подожжено отделение Сбера в Санкт-Петербурге (писали тут).
- Пару дней назад. Доверчивый мужчина метнул коктейль Молотова в здание военкомата(писали тут).
Все они не понимали, для чего именно они это делают. С ними часами были на телефоне и разыгрывали спектакль. Потому что они первоначально поверили. И стали исполнителями преступления.
Поверить можете и вы, и ваши родные/друзья! Если будете во внушаемом состоянии.
Они сообщают вам ваши реальные данные? Да, к сожалению, за 2022 год утекло очень много данных из компаний, они могут многое о вас знать, это не повод им верить.
Что с этим делать? Правило противодействия простое. Не делать требуемые действия, не сообщать никаких данных по телефону.
Давят? Бросайте трубку, причем сразу. К звонкам должно быть нулевое доверие. Мошенники редко перезванивают и часто давят. Вас торопят? Бросайте трубку, они всегда торопят. Говорят, не бросать трубку? Точно бросайте. Это даст вам время выдохнуть и обдумать ситуацию, а это самое важное. Сомневаетесь? Лучше перезвоните сами в банк/мвд по телефону, который вы сами найдете в интернете.
3side кибербезопасности — рассказываем про информационную безопасность изнутри.
#3side_безполитики
Типичная ситуация, с неизвестных номеров звонили уже почти каждому.
Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей.
Кто они? Почти всегда мошенники с Украины, зарабатывающие уже так годами. А с февраля 2022 года еще и действующие в интересах своей страны.
Почему они работают и их не сажают? Заблокировать международные звонки через интернет невозможно, отследить откуда именно звонят и через каких провайдеров – сложно. В последнее время звонят через вацап, это можете заблокировать только вы, удалив сам вацап. За деятельность по России в Украине не сажают с 2014 года, а с недавних пор и медали дают.
К чему это приводит? Особо доверчивые люди, или люди в нестабильном душевном состоянии (болезнь, горе, эйфория) не только отдают свои деньги, но и готовы выполнять действия, которые им говорит мошенник. К примеру:
- Август 2022. Доверчивой пенсионеркой сожжена машина сотрудника генерального штаба. Об (этом писали тут).
- Октябрь 2022. Доверчивой женщиной подожжено отделение Сбера в Санкт-Петербурге (писали тут).
- Пару дней назад. Доверчивый мужчина метнул коктейль Молотова в здание военкомата(писали тут).
Все они не понимали, для чего именно они это делают. С ними часами были на телефоне и разыгрывали спектакль. Потому что они первоначально поверили. И стали исполнителями преступления.
Поверить можете и вы, и ваши родные/друзья! Если будете во внушаемом состоянии.
Они сообщают вам ваши реальные данные? Да, к сожалению, за 2022 год утекло очень много данных из компаний, они могут многое о вас знать, это не повод им верить.
Что с этим делать? Правило противодействия простое. Не делать требуемые действия, не сообщать никаких данных по телефону.
Давят? Бросайте трубку, причем сразу. К звонкам должно быть нулевое доверие. Мошенники редко перезванивают и часто давят. Вас торопят? Бросайте трубку, они всегда торопят. Говорят, не бросать трубку? Точно бросайте. Это даст вам время выдохнуть и обдумать ситуацию, а это самое важное. Сомневаетесь? Лучше перезвоните сами в банк/мвд по телефону, который вы сами найдете в интернете.
3side кибербезопасности — рассказываем про информационную безопасность изнутри.
#3side_безполитики
👍291🔥41❤10🤬4🤣2👨💻1
Карта атак
Тут Американский Анти-ДДОС провайдер выложил свою онлайн карту инцидентов. Выглядит красиво, но ценность сомнительная. Основано, видимо, на их мониторинге и разбито по категориям:
- Веб-атаки (видимо, сработки WAF)
- ДДОС (логично и к месту)
- Вторжения (что под этим понимается, не ясно)
- Сканирования (идут 24/7 сотнями сервисов, выглядят страшно для Заказчиков)
- Анонимайзеры (любой трафик TOR и публичных прокси? смысл включения не ясен)
С точки зрения визуализации - нареканий нет, с тайм-слоями внизу даже похоже даже на запись виртов из кибербанка.
Тут Американский Анти-ДДОС провайдер выложил свою онлайн карту инцидентов. Выглядит красиво, но ценность сомнительная. Основано, видимо, на их мониторинге и разбито по категориям:
- Веб-атаки (видимо, сработки WAF)
- ДДОС (логично и к месту)
- Вторжения (что под этим понимается, не ясно)
- Сканирования (идут 24/7 сотнями сервисов, выглядят страшно для Заказчиков)
- Анонимайзеры (любой трафик TOR и публичных прокси? смысл включения не ясен)
С точки зрения визуализации - нареканий нет, с тайм-слоями внизу даже похоже даже на запись виртов из кибербанка.
🤔16👍9🔥2
3side кибербезопасности
Вам звонят из банка/полиции/ФСБ, просят что-то сжечь?! Что происходит? Типичная ситуация, с неизвестных номеров звонили уже почти каждому. Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей. Кто они?…
Кстати, сегодня был уже четвертый случай — "сотрудники службы безопасности" убедили свою жертву сначала перевести им полтора миллиона рублей (разумеется, спасая их от мошенников), а потом, чтобы уж наверняка добраться до самих мошенников, убедил его собрать "коктейль Молотова" и поджечь офис Сбербанка.
Такие дела. Как говорится, не ведитесь, в любой непонятной ситуации — перезванивайте.
Такие дела. Как говорится, не ведитесь, в любой непонятной ситуации — перезванивайте.
🤯45👍6🔥3🤬2
Паранойю можно понять, да и многим людям в сфере ИБ она свойственна. Только есть ряд важных моментов.
Во-первых, подтвержденных фактов нет. Вообще нет. И даже технически не вполне понятно, как такое можно сделать. Слова следователя — это, конечно, хорошо, но они вызывают вопросы.
Во-вторых, есть такая штука, как боты, и они не то, чтобы безопасны. И вот как только пользователь заходит в бота, становится известен его ID, по которому можно искать и посты, и комментарии (если они индексируются). Вообще, история для соцсети нормальная.
И нет, зная номер телефона — нельзя, если человек выставил у себя в настройках видимость только для контактов. То есть поиск по телефону не работает, если сам пользователь этого не разрешил.
Если уж начинать играть в паранойю всерьез, то мы бы задавались куда более интересным и важным вопросом — а какая модель телефона использовалась в описанных случаях и точно ли она безопасна? С любым компьютером аналогичный вопрос, кстати говоря. И на наш взгляд, устройство в этой ситуации само по себе может иметь на порядок больше уязвимостей ...
Во-первых, подтвержденных фактов нет. Вообще нет. И даже технически не вполне понятно, как такое можно сделать. Слова следователя — это, конечно, хорошо, но они вызывают вопросы.
Во-вторых, есть такая штука, как боты, и они не то, чтобы безопасны. И вот как только пользователь заходит в бота, становится известен его ID, по которому можно искать и посты, и комментарии (если они индексируются). Вообще, история для соцсети нормальная.
И нет, зная номер телефона — нельзя, если человек выставил у себя в настройках видимость только для контактов. То есть поиск по телефону не работает, если сам пользователь этого не разрешил.
Если уж начинать играть в паранойю всерьез, то мы бы задавались куда более интересным и важным вопросом — а какая модель телефона использовалась в описанных случаях и точно ли она безопасна? С любым компьютером аналогичный вопрос, кстати говоря. И на наш взгляд, устройство в этой ситуации само по себе может иметь на порядок больше уязвимостей ...
Telegram
Baza
За пользователями «Телеграма» можно следить с помощью самого мессенджера, а российские спецслужбы, похоже, научились читать даже зашифрованные чаты. Главное из материала Wired о уязвимостях в проекте Павла Дурова.
Слежку за пользователями «Телеграма» можно…
Слежку за пользователями «Телеграма» можно…
👍22🤔3🔥2