По результатам вчерашнего опроса: вы все уверены, что у ФБР нет ключей от ваших кошельков (которых у большинства, в свою очередь, нет) и скорее всего вы правы.
Мы изучили главный документ по делу -- показания федерального агента по имени ⬛️⬛️⬛️⬛️⬛️, на основании которых судом принималось решение о конфискации 63 биткойнов.
Итак, последовательность событий была такова: 7 мая ФБР получает от Colonial Pipeline (обозначаемых в документе, как "Victim X") сообщение о том, что те перевели 75 биткойнов вымогателям на их кошелёк.
Дальше вымогатели разделили сумму на две части (видимо между оператором Ransomware и партнёром обеспечившим проникновение в сеть Colonial Pipeline). 11 Биткойнов ушли в миксер и пропали из поля зрения ФБР.
Оставшаяся сумма в 63 биткойна тоже ушла в миксер, но по какой-то причине, застряла там до 27 мая.
27 мая произошло главное событие: некая зацензурированная сущность (см. иллюстрацию) — с очень высокой вероятностью владелец миксера — перевела 69 биткойнов (включающих те 63) на кошелёк, ключ от которого имелся у подразделения ФБР в Северном округе (District) Калифорнии.
Насладиться процессом ареста биткойнов можно в двух вчерашних транзакциях: 63 биткойна, имеющие отношение к истории с DarkSide переводятся на один кошелёк, оставшиеся 5, непонятно, как сюда попавшие - на другой.
Вот так. И никакой магии.
_______
Источник | #cybersecgame
Мы изучили главный документ по делу -- показания федерального агента по имени ⬛️⬛️⬛️⬛️⬛️, на основании которых судом принималось решение о конфискации 63 биткойнов.
Итак, последовательность событий была такова: 7 мая ФБР получает от Colonial Pipeline (обозначаемых в документе, как "Victim X") сообщение о том, что те перевели 75 биткойнов вымогателям на их кошелёк.
Дальше вымогатели разделили сумму на две части (видимо между оператором Ransomware и партнёром обеспечившим проникновение в сеть Colonial Pipeline). 11 Биткойнов ушли в миксер и пропали из поля зрения ФБР.
Оставшаяся сумма в 63 биткойна тоже ушла в миксер, но по какой-то причине, застряла там до 27 мая.
27 мая произошло главное событие: некая зацензурированная сущность (см. иллюстрацию) — с очень высокой вероятностью владелец миксера — перевела 69 биткойнов (включающих те 63) на кошелёк, ключ от которого имелся у подразделения ФБР в Северном округе (District) Калифорнии.
Насладиться процессом ареста биткойнов можно в двух вчерашних транзакциях: 63 биткойна, имеющие отношение к истории с DarkSide переводятся на один кошелёк, оставшиеся 5, непонятно, как сюда попавшие - на другой.
Вот так. И никакой магии.
_______
Источник | #cybersecgame
В недавнем посте мы высказали мнение, что пароли ещё поживут.
Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.
Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.
Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).
В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.
В общем, единственное, чего добьются авторы политики парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.
Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.
Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.
Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.
Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.
Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.
А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.
Итак, чтобы парольная защита работала, как ей положено:
1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны придумать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте странные логины. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.
Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:
— NIST Special Publication 800-63B
— CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании
* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.
_______
Источник | #cybersecgame
Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.
Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.
Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).
В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.
В общем, единственное, чего добьются авторы политики парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.
Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.
Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.
Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.
Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.
Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.
А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.
Итак, чтобы парольная защита работала, как ей положено:
1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны придумать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте странные логины. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.
Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:
— NIST Special Publication 800-63B
— CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании
* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.
_______
Источник | #cybersecgame
CIS
White Paper: CIS Password Policy Guide
The CIS Password Policy Guide was developed by the CIS Benchmarks community and consolidates password guidance in one place.
Тем временем, бывший сотрудник ЦРУ Джошуа Шульте признан виновным в самой крупной (пока) утечке киберинструментов ЦРУ, известной, как Vault7.
Напомним, что в этой истории есть две плоскости — личностная и организационная.
Личностная — это ссора между самим Шульте и оппонентом, проходившим на суде, как Амол, с которым они обменялись оскорблениями, касающимися внешнего вида (Шульте — лысый, а оппонент — жирный), что, судя по заявлению прокурора и стало причиной затаённой обиды Шульте на организацию.
Организационная — это масштабные проблемы с защитой собственной информации, описанные в этом отчёте. Все сотрудники подразделения "специальных информационных операций" имели административные доступы ко всей внутренней инфраструктуре. Если кто-то потерял свой пароль, во внутреннем чате можно было найти пароль от root (на процессе выяснилось, что пароль от рута на виртуалке с Confluence, которую и скачал себе Шульте — 123ABCdef, а от контроллера домена сети DEVLan — mysweetsummer). Вменяемого логирования там тоже не было, как и мониторинга, поэтому об утечке там узнали спустя год из публикации на Wikileaks. Да и доказать причастность самого Шульте, хотя подозревали его с самого начала, удалось, насколько можно судить, довольно случайно.
Поясняя следователям ситуацию (отчёт), руководство подразделения заявило, что всегда стремилось к преобладанию "культуры творчества" над ограничительными мерами, даже минимально соответствующими статусу организации, где они все работали.
В финальном слове прокурора, если опустить словесную шелуху и характерный для американского правосудия пафос, можно найти довольно много интересных подробностей про "культуру творчества", например, как три администратора закрывали для Шульте доступы к серверам, но пропустили его ssh-ключ и т.п.
Так или иначе, "виновный" найден и будет примерно наказан, а допустившее "культуру творчества" руководство подразделения, судя по всему, дало исчерпывающие объяснения следствию и продолжит творить на тех же должностях.
_______
Источник | #cybersecgame
Напомним, что в этой истории есть две плоскости — личностная и организационная.
Личностная — это ссора между самим Шульте и оппонентом, проходившим на суде, как Амол, с которым они обменялись оскорблениями, касающимися внешнего вида (Шульте — лысый, а оппонент — жирный), что, судя по заявлению прокурора и стало причиной затаённой обиды Шульте на организацию.
Организационная — это масштабные проблемы с защитой собственной информации, описанные в этом отчёте. Все сотрудники подразделения "специальных информационных операций" имели административные доступы ко всей внутренней инфраструктуре. Если кто-то потерял свой пароль, во внутреннем чате можно было найти пароль от root (на процессе выяснилось, что пароль от рута на виртуалке с Confluence, которую и скачал себе Шульте — 123ABCdef, а от контроллера домена сети DEVLan — mysweetsummer). Вменяемого логирования там тоже не было, как и мониторинга, поэтому об утечке там узнали спустя год из публикации на Wikileaks. Да и доказать причастность самого Шульте, хотя подозревали его с самого начала, удалось, насколько можно судить, довольно случайно.
Поясняя следователям ситуацию (отчёт), руководство подразделения заявило, что всегда стремилось к преобладанию "культуры творчества" над ограничительными мерами, даже минимально соответствующими статусу организации, где они все работали.
В финальном слове прокурора, если опустить словесную шелуху и характерный для американского правосудия пафос, можно найти довольно много интересных подробностей про "культуру творчества", например, как три администратора закрывали для Шульте доступы к серверам, но пропустили его ssh-ключ и т.п.
Так или иначе, "виновный" найден и будет примерно наказан, а допустившее "культуру творчества" руководство подразделения, судя по всему, дало исчерпывающие объяснения следствию и продолжит творить на тех же должностях.
_______
Источник | #cybersecgame
картинка https://t.iss.one/infosecmemes/949
CVE-2024-3094 — это всё, как мы тут любим.
Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.
Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.
То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.
Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.
Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.
Во всём этом есть хорошие новости и есть плохие.
Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.
Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.
Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.
Литература:
www.opennet.ru — последовательность событий, приведших к образованию бэкдора
mastodon.social — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
news.ycombinator.com — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.
___
Источник | #cybersecgame
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
CVE-2024-3094 — это всё, как мы тут любим.
Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.
Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.
То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.
Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.
Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.
Во всём этом есть хорошие новости и есть плохие.
Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.
Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.
Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.
Литература:
www.opennet.ru — последовательность событий, приведших к образованию бэкдора
mastodon.social — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
news.ycombinator.com — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.
___
Источник | #cybersecgame
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Telegram
Information Security Memes