Нас же еще ни разу не взломали!

Компаниям бывает просто везет. У них может быть на периметре простая и при этом критическая уязвимость, которую просто никто не замечал. Или как у WebArchive годами могут лежать API-ключи для доступа к их системе поддержки в публичном хранилище кода, но это не использовали.

WebArchive был мало кому интересен, хотя исследователи безопасности обнаружили этот репозиторий и ключи, и даже пытались достучаться до компании. Не вышло. В итоге WebArchive был взломан дважды, не работал значительное время и были слиты данные всех их пользователей.

Но это показывает, что уверенность в собственной защищенности, описываемая простой фразой "нас же еще ни разу не взломали" не стоит ничего. Меняется как и интерес, так и квалификация злоумышленников, например до 2022 года высококвалифицированный хактивизм не существовал.

Отсутствие взлома - не признак защиты.

У наших друзей сейчас конкурс, кому интересно, велком!)

Кибербезопасность приграничных регионов

Практика показывает, что звонок от «службы безопасности сбербанка» для жителей приграничных с Украиной регионов не единственная возможно атака на их телефоны. Пойдем по порядку.

Мошенники звонят по всей России, используя IP-телефонию, но сейчас им старательно связывают руки, рубят каналы коммуникации:
- Ужесточили ответственность операторов IP-телефонии за недостаточную проверку своих клиентов.
- Фильтруют входящие звонки из-за границы.
- Старательно борются с подменой номера при звонках.

Конечно всё еще остаются методы мошеннических звонков через приложения мессенджеров, но тут уже всё в руках пользователя, который поверит, что сотрудники Сбера будут звонить через Whatsapp.
Но жителям приграничья и всем, кто находится на новых территориях доверять телефонам звонкам нельзя даже после новых защитных мер. Вам могут позвонить с любого номера, прислать любое смс и даже повлиять на ваш мобильный интернет. А все потому, что на вышках сотовой связи со стороны Украины стоит нужное оборудование, заставляющее все телефоны в радиусе действия вышек переключаться на ИХ вышки, а не наши. Происходит это за счет подменны метаданных, так как телефон ведет обмен с вышкой с самым оптимальным показателем связи. И если ваш телефон подключился к их вышке, то со своей стороны вы никак не можете перевестись на нашу. То есть сбрасывать странный звонок и звонить самому бесполезно - вас всё равно переадресует к мошенникам.

То есть именно физическое расположение вышек, в приграничных территориях, например Харьковской области, создают точки кибератак на обычные телефонные звонки, начиная с обычной прослушки любого звонка, заканчивая переадресацией и подменой входящих номеров.

Чуть сложнее с перехватом мобильного интернета, например онлайн камер, но тоже возможно. Относитесь ко всей мобильной связи в приграничье с подозрением, ведь вы не знаете к какой вышке вы подключены в данный момент!

Тот самый стрим, который проводили в конце октября! Тут расписаны темы, тайминг очень удобно для прослушивания в записи)

Взлететь нельзя погибнуть — немного про российские ИБ-стартапы

Мы тут на прошлой недели посетили одно замечательное мероприятие, посвященное стартапам в кибербезе. Спасибо уважаемым коллегам из CyberStage что позвали, было действительно очень, очень полезно, мы точно получили больше, чем ожидали. Из неожиданного — было много сказано о том, почему история со стартапами в России несколько ... проблемная, а у "малого кибербеза" вагон проблем. Дисклеймер для людей из индустрии: большинство описанных проблем относятся в первую очередь к продуктовой разработке, у услуг своя кухня, да и большинство компаний на рынке ИБ-услуг "стартапами" назвать нельзя при всем желании.

Так вот, первая и главная проблема — российский ИБ-рынок очень маленький. И пусть кажущаяся цифра в ~500 млрд через пару лет никого не смущает — в реальности (и это было хорошо показано) рынок состоит из большого числа маленьких ниш. Лезть на самые крупные из них (вроде антивирусов) для небольшой команды — безумие. А объем остальных будет оставаться в диапазоне от 5 до 15 млрд рублей — сорри, но тут единорогом даже не пахнет. Вывод: действительно, без выхода на международку потенциал продукта будет реализован очень слабо.

Вторая проблема — зарегулированность и экономика. Деньги на ИБ есть у крупных компаний. Но они же (и это тоже было сказано) не готовы пускать в свою инфраструктуру небольшие компании. И их можно понять, тут же есть регулятор, который отметил, что главное — безопасность, а у небольших вендоров с этим могут быть проблемы, и пока они не пройдут 100500 сертификаций, пускать их куда-то нельзя. И вообще, "стартапы — это про технологии, пусть продаются крупным корпорациям". Правда, уважаемый представитель регулятора не сказал (или не знал) сколько в России early stage сделок с участием российских ИБ-стартапов. Открою секрет: по пальцам одной руки. Ой, как же так выходит, что крупняк не спешит инвестировать в ИБ, а если делает это — то на таких условиях, что из бизнеса после этого фаундерам часто проще уйти. Вывод: с экономикой мы ничего не сделаем, регулятор больше интересуют бумаги, так что спасение утопающих дело рук самих утопающих. В конце концов, "хотели бы денег — шли бы в IT" (С).

Третья — извините, но ключевая ставка. Эра дешевых денег закончилась, вместе с ней умер венчур. Для ожидаемых инвестором доходностей у нас просто не хватит емкости рынка. Все, точка, занавес. Вывод: и снова, MENA и LATAM нас спасут. Наверное. Когда-нибудь.

На самом деле, не все так плохо. Текущая ситуация не только сильно усложнила инвестиции, но и сделала ИБ болью небольших компаний. Которые рано или поздно будут инвестировать в ИБ. А значит, если продуктовый стартап выживет сейчас, то через пару лет у него появляются очень интересные перспективы. Надо только объяснить это сотрудникам, когда они будут снова просить проиндексировать зарплату.

Побывал на форуме, было интересно пообщаться с людьми с совсем другим виденьем мира)

T-mobile ломают снова и снова

Знаете, T-Mobile - это одна из крупнейших телекоммуникационных компаний в мире, принадлежат они Deutsche Telekom, в свою очередь крупнейшему провайдеру Германии. К слову, именно Deutsche Telekom помогли создать технологию, которую не совсем честно использовали для разработки "Google.Планета Земля", что позволило создать все современные онлайн и оффлайн карты и навигаторы!

Они занимались кибербезопасностью? Безусловно. В ковидный 2020 год, мне даже довелось собеседоваться к ним в T-Systems. Это было задолго до основания 3side, на тот момент еще даже идеи в моей голове не было. Собеседовали меня на должность эксперта по тестированию на проникновение/redteam со специализацией на инфраструктуре. Это был один из самых сложных и интересных технических собесов в моей жизни! Команда и потенциальный руководитель вызывали восхищение, и собес я прошел, ожидал лишь оффер. Команда атакующей безопасности (pentest/redteam) T-systems сидела в офисе в Санкт-Петербурге и обслуживала всю Европейскую инфраструктуру группы компаний, конечно же вся команда была из России, лишь некоторые релоцировалась в Германию.

На собесе я также подчеркнул, что у меня серьезный опыт в социальной инженерии. Но с очень грустным вздохом, мой потенциальный руководитель рассказал, что по законодательству Германии, подобные проекты нелегальны. Нельзя винить сотрудника в подобных ошибках и проверять сотрудников нельзя. Поэтому у них это большая проблема, и они вынуждены пытаться защищаться от любых действий своих же сотрудников! Даже T-systems нельзя было проводить подобные проекты.

Летом 2020 года, набор в команду T-Systems был заморожен, и мне сказали, что раз оффер был уже согласован, меня ждут сразу после разморозки найма. Найм планировали разморозить после ковида, но этого так и не случилось до самого февраля 2022. Далее, насколько мне известно, T-systems прекратили свое существование. Да и я уже не рассматривал работу в найме!

За эти 4 года группа компаний T-Mobile были взломаны не менее 3 раз и каждый раз со скандалом, утечками и огромным ущербом. Более того, уверен что запрет на социальную инженерию и роспуск очень сильной команды T-Systems из России сыграли свою роль.

Цените ваших сотрудников и оценивайте свою защищенность с минимумом искусственных ограничений!

Тишина в канале закончилась

Всем привет, у нас случился конец года и сезон огромного количества мероприятий!
Поэтому активность в канале была почти нулевой. Но, мы возвращаемся постепенно в строй, вот планы по ближайшим публикациям:
- прогноз на 2025 год в индустрии
- немного о мероприятиях
- о Web3 кибербезе
- статья на хабре про легальную торговлю данными
- наши планы на 2025 год

Возможно будет что-то еще, порядок тоже может поменяться!
Будет интересно)

Я тебя найду и позвоню

Вышла очень важная статья на Хабре о торговле за копейки нашими данным.

Не об утечках! О легальных сервисах позволяющих за 1 звонок без снятия трубки раскрыть данные о ваших перемещениях, посещаемые сайты и метаданные ваших телефонных переговоров!

Очень прошу помочь с репостами, такой легальный пробив не должен существовать.

Веселые истории о контршпионаже

Наш друг написал очень детальную и интересую статью о противодействии китайскому шпионажу!
Не можем ей не поделиться, ведь превью ее звучит:

"Знаете ли вы о проблемах контрразведки при групповом сексе?"

Павел большой эксперт по этой теме, и написал шикарную книгу "Вражеские уроки" - она про Холодную войну, подводный флот, проблемы экономики и политики!

Атаки на двухфакторку без кожаных мешков

Повсеместное внедрение двухфакторной аутентификации очень помешало злоумышленникам. До этого многие из них выкупали данные с логинами/паролями из утекших баз и пытались их переиспользовать в других сервисах, а потом как-то монетизировать доступ.

Но теперь для входа пары логин/пароль недостаточно, нужен еще и код, отправляемый через PUSH/смс/на email, либо последние цифры номера звонка. К этому коду идет приписка «Никому и никогда не сообщайте этот код», но люди сообщают.

А злоумышленники делают всё, чтобы им его сообщили! И не скупятся на автоматизацию. Ведь звонить сами злоумышленники точно не хотят! А на даркнет-площадках активно предлагают им SaaS-сервисы, которые сделают это за них, без участия человека.

Эти сервисы представляют собой веб-панель или телеграм-бота. В которого злоумышленник может выбрать опции и добавить информацию, которую будет использовать бот для звонка, например:
- представится банком с таким-то названием;
- обратиться к жертве по такому-то имени;
- сказать жертве, что последние цифры ее карты такие-то;
- позвонить жертве по указанному номеру;
- позвонить жертве с подменой указанного номера;
- использовать для общения с жертвой выбранный язык.

А дальше нужно лишь нажать на кнопку! И бот позвонит одновременно с попыткой входа в аккаунт злоумышленником и очень убедительно попросит ввести на клавиатуре код двухфакторной аутентификации, который никому никогда нельзя сообщать. Но железке-то можно? Нет, нельзя.

Как называются подобные сервисы?
ФишКит, Фишинговый набор.

Сколько стоит такой сервис?
От 100 до 400 долларов в неделю в зависимости от возможностей бота.

Как определить, что звонит такой бот?
Он спросит ваш код, никто кроме злоумышленников его не спросит.

Киберсьезд 12.12!

Бесплатная конференция от Кибердома!

Мы уже многое писали про это шикарное пространство кибербеза, поэтому комментарии излишни.

Постарайтесь освободить 12 декабря и приходите)

https://cyberdom.pro/cybercongress

"Так безопасно?" №14: Откуда безопасно ставить приложения?

«Ставьте приложения только из надежных источников!»
Так звучит одна из самых распространённых рекомендаций по защите смартфона. С iOS всё просто, поставить туда какое-то «не то» приложение крайне сложно. А вот про Android мы сейчас и поговорим.

Какие источники надежные, а какие не очень?

- Сайты с apk-файлами, бесплатными версиями платных приложений и прочие «онлайн магазины приложений» — самый ненадежный источник. Скачав оттуда приложение, нельзя с уверенностью знать, что там внутри. И это основной канал распространения вредоносных приложений.

- Ссылка на приложение в СМС или PUSH-уведомлениях. PUSH-уведомления — надежный канал коммуникации, а отправителя СМС потенциально можно подделать. Но главное тут то, куда именно ведет ссылка. На настоящий сайт известного банка? Да, это уже лучше, сейчас из-за удаления их приложений из магазинов им приходится делать так. Ссылка на официальный магазин приложений? Тоже неплохо, но обсудим это дальше. От того, куда ведет ссылка, и можем оттолкнуться. Распространение вредоносных приложений ссылками было и встречается, поэтому относимся к этому источнику с подозрением и всячески проверяем.

- Официальный магазин приложений Google. Абсолютно безопасный источник? Тоже нет, злоумышленники тратят значительные ресурсы, чтобы протащить туда свой вредонос. Обычно это делается в несколько этапов, вредоносный модуль «подключается» так, чтобы минимизировать шанс его проверки магазином. Такие приложения долго в магазине не живут, но им быстро «накручивают» популярность. Чаще всего это «клоны» известных приложений, но бесплатные. Либо приложения, обещающие очень привлекательные и зачастую невозможные функции. Поэтому, смотрим на создателя приложения и как давно оно в магазине.

- Сторонние официальные магазины: от китайских до RuStore. Насколько сложно внедрить вредонос в китайский магазин? Точно не понятно. Так что проверяем, как и с Google. В RuStore пока вредоносов не замечали, но с учетом политического контекста, их туда вполне могут попробовать внедрить и хактивисты.

Итого. Полностью надежного источника нет, всё придется проверять. Например, троян "Necro" через Play Market заразил 11 миллионов устройств, маскируясь под приложения «Minecraft», «WhatsApp», «Spotify Plus», «Wuta Camera» и «Max Browser». Но в целом, приложение из официального магазина с большой историей версий и большим рейтингом выглядит самым безопасным. А то, что санкции приучили нас ставить всякое по ссылкам, — это большая проблема.

#3side_так_безопасно

Традиционно - это не реклама, будем там сами! Напоминаем, что платной рекламы в канале не бывает)