Чуть больше года назад, пребывая в прекрасном расположении духа, я возвращался из отпуска — четырнадцатичасовой перелет завершался и ничего не предвещало беды. Самолет приземлился, я на автомате отключаю авиарежим на телефоне и моментально замечаю получение нескольких писем на почту и парочки смсок. Глаза выхватывают ключевые слова "госуслуги", "двухфакторная аутентификация отключена", "произошла смена номера телефона"👀
Пульс резко участился, мозг начал усиленно придумывать возможные сценарии, где я, специалист по защите информации, мог допустить оплошность и попасться на удочку злоумышленников. На секунду закралось, что я стал жертвой сложной операции спецслужб — откуда могли знать, что я именно в тот момент буду находиться без связи длительное время? Но осознание того, что я нафиг не сдался ЦРУ и АНБ (или ФСБ), быстро вернуло мне здравомыслие😅
За последующие считанные минуты я быстро смог восстановить пароль от учетной записи на госуслугах, привязать свой номер телефона и включить обратно второй фактор. Далее начал с замиранием сердца изучать какие же операции были выполнены за длительное отсутствие "на земле" — не увидел ничего криминального, разве что направление какого-то заявления в Пенсионный фонд (ПФР)... И тут я вспоминаю, что полгода назад обращался за определенными компенсациями в ПФР, а сейчас наступил регламентный срок предоставления услуги (правда не таких итогов я ожидал😑).
Собрав всю информацию в кучку, я направляю обращение в поддержку госуслуг и относительно оперативно получаю информацию о событиях входа и сброса второго фактора: "сброс настроек был произведен оператором-администратором ПФР"🧐
Параллельно со мной связывается сотрудник ПФР, который обслуживал меня полгода назад, и сообщает, что мое заявление обработано и отправлено в ПФР для окончательных расчетов. Но на тот момент меня интересовал другой вопрос — почему кто-то "трогал" мою учетку на госуслугах?🤬
Как оказалось причиной всему была... клиентоориентированность🤨 Да, сотрудник ПФР пытался дозвониться до меня, но не смог — мало того, что я был в самолете, так еще он звонил в вайбер, в который я захожу раз в год. В итоге он решил проявить инициативу и отправить заявление на госуслугах вместо меня, ускорив процесс👍
Обладая необходимыми правами, он отключил второй фактор, привязал свой номер телефона, сбросил пароль и отправил заявление. Профит!
Дальнейшее общение с ним показало, что это довольный частый кейс, когда сотрудники ПФР сбрасывают пароли* и помогают гражданам ускорить процесс оказания услуг, выполняя за них операции на госуслугах, так как уровень цифровой грамотности в российской глубинке довольно низкий (да, это было в маленьком провинциальном городке).
*Но есть нюанс — сброс пароля от учетки госуслуг производится только по письменному заявлению.
p.s. Да, меня попросили написать заявление задним числом и прислать скан🙂
Какие же выводы можно сделать?
➡️Второй фактор не панацея
➡️У многих сотрудников гос.органов есть права, позволяющие сбросить настройки безопасности вашей учетной записи на госуслугах
➡️Не летайте далеко в отпуск😄
_______
Источник | #alexredsec
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Пульс резко участился, мозг начал усиленно придумывать возможные сценарии, где я, специалист по защите информации, мог допустить оплошность и попасться на удочку злоумышленников. На секунду закралось, что я стал жертвой сложной операции спецслужб — откуда могли знать, что я именно в тот момент буду находиться без связи длительное время? Но осознание того, что я нафиг не сдался ЦРУ и АНБ (или ФСБ), быстро вернуло мне здравомыслие😅
За последующие считанные минуты я быстро смог восстановить пароль от учетной записи на госуслугах, привязать свой номер телефона и включить обратно второй фактор. Далее начал с замиранием сердца изучать какие же операции были выполнены за длительное отсутствие "на земле" — не увидел ничего криминального, разве что направление какого-то заявления в Пенсионный фонд (ПФР)... И тут я вспоминаю, что полгода назад обращался за определенными компенсациями в ПФР, а сейчас наступил регламентный срок предоставления услуги (правда не таких итогов я ожидал😑).
Собрав всю информацию в кучку, я направляю обращение в поддержку госуслуг и относительно оперативно получаю информацию о событиях входа и сброса второго фактора: "сброс настроек был произведен оператором-администратором ПФР"🧐
Параллельно со мной связывается сотрудник ПФР, который обслуживал меня полгода назад, и сообщает, что мое заявление обработано и отправлено в ПФР для окончательных расчетов. Но на тот момент меня интересовал другой вопрос — почему кто-то "трогал" мою учетку на госуслугах?🤬
Как оказалось причиной всему была... клиентоориентированность🤨 Да, сотрудник ПФР пытался дозвониться до меня, но не смог — мало того, что я был в самолете, так еще он звонил в вайбер, в который я захожу раз в год. В итоге он решил проявить инициативу и отправить заявление на госуслугах вместо меня, ускорив процесс👍
Обладая необходимыми правами, он отключил второй фактор, привязал свой номер телефона, сбросил пароль и отправил заявление. Профит!
Дальнейшее общение с ним показало, что это довольный частый кейс, когда сотрудники ПФР сбрасывают пароли* и помогают гражданам ускорить процесс оказания услуг, выполняя за них операции на госуслугах, так как уровень цифровой грамотности в российской глубинке довольно низкий (да, это было в маленьком провинциальном городке).
*Но есть нюанс — сброс пароля от учетки госуслуг производится только по письменному заявлению.
p.s. Да, меня попросили написать заявление задним числом и прислать скан🙂
Какие же выводы можно сделать?
➡️Второй фактор не панацея
➡️У многих сотрудников гос.органов есть права, позволяющие сбросить настройки безопасности вашей учетной записи на госуслугах
➡️Не летайте далеко в отпуск😄
_______
Источник | #alexredsec
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Telegram
AlexRedSec
Чуть больше года назад, пребывая в прекрасном расположении духа, я возвращался из отпуска — четырнадцатичасовой перелет завершался и ничего не предвещало беды. Самолет приземлился, я на автомате отключаю авиарежим на телефоне и моментально замечаю получение…
😱28👍4👀4😁3🤡3🥴2🌚2🥱1
Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?
Рекомендуемые критерии выбора и оценки инструментов:
🟠Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
_______
Источник | #alexredsec
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?
Рекомендуемые критерии выбора и оценки инструментов:
🟠Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
_______
Источник | #alexredsec
Telegram
AlexRedSec
Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔
В отчете рассматриваются…
В отчете рассматриваются…
🥱2👍1