Забавно, но хоть на экране и открыта почта Натаниэля Холмса, компьютер либо не его, либо он за ним сидит вместе с кем-то посменно.

На левой наклейке с высокой вероятностью написано "boulevard of femen dreams" (аллюзия на известную песню), три остальные — мерч известной марки женских колготок.

Побыли сегодня немного хорошими ребятами и помогли одним знакомым машинистам паровозов быстро найти один микротик.

А по пути выяснили, что та телекоммуникационная компания, которая его воткнула, они, вообще, те ещё затейники.

День шуток про про бывших президентов, сбегающих в один южный город.

Не знаем, у кого выкинутый со всех американских хостингов Парлер хостится, но во внешний мир он смотрит адресом компании ООО "ДДОС-ГВАРД" из Ростова-на-Дону.

Некоторые "кибер риск эксперты" вокруг этого уже страдают, хотя, кажется, не до конца понимают, что такое ddos protection и как он работает (почитайте там весь тред -- экспертиза так и прёт. И ещё вот смешная шутка).

В секретном-секретном заведении за стройными рядами колючей проволоки на дверях первого отдела для вашего удобства написан код.

Где-то году в 2003, американские секретчики к своему удивлению столкнулись с проблемой нового века. Оказалось, что если в файлах форматов DOC или PDF поверх текста нарисовать чёрный квадрат, а потом передать файл журналистам, текст от этого секретным не становится.

Попутно выяснилось, что в ряде форматов сохраняются такие полезные штуки, как старые версии, история правок и т.п. В общем, чтобы сделать какой-то документ секретным теперь нельзя просто почеркать по нему чёрным маркером. надо понимать, как документ устроен и прилагать некоторые умственные усилия.

Удивительно, но несмотря на кучу специальных руководств (вот, например, руководство АНБ от 2005 года по удалению секретной информации из документов — полистайте, там есть котики. А вот подробное руководство от Adobe) "Redaction Failure" (это прямо специальный термин для обозначения этой проблемы) продолжает радовать наблюдателей.

В 2014 году издание Нью Йорк Таймс так раскрыло имя сотрудника АНБ в процессе публикации документов Эдварда Сноудена. Там была проблема закрашивания чёрными квадратами поверх текста.

В 2019 году подобная история произошла с адвокатами Пола Манафорта - персонажа, который возглавлял предвыборный штаб Трампа и при этом подозревался с связях с российской разведкой, отмывании денег и других пригрешениях. Адвокаты предоставили в суд PDF, в котором были "замазаны" наиболее неприятные моменты.

Манафорту, кстати, с PDF вообще не везёт.

Ну и наконец, к чему мы тут это пишем. Вот свежий случай - договор между Европейской Комиссией и компанией AstraZeneca AB на поставку Европейскому Союзу вакцины сами знаете от какого заболевания. Здесь информация о стоимости контракта надёжно из документа удалена и всё бы хорошо, кабы не автоматический генератор оглавления. Который сгенерировал его из полного текста включающего и конфиденциальную часть.

В общем, будете готовить документы для публикации -- не ленитесь, сделайте отдельный вариант, который секретной информации в принципе не содержит. Это самое надёжное, что можно предложить.

PS: Не перепутайте версии при публикации!

Добрый человек, скрывающийся под ником med0ka сохранил для нас эту великую pdf. Вот она.

Сегодня — Международный день безопасного интернета. Поздравляем, коллеги, стоящие (ну, мы надеемся) на страже безопасности пользователей.

По нашему глубокому убеждению, безопасность в любой сфере, как и вообще всё в этой жизни, начинается с людей.

И тут у вас два варианта: долго и мучительно учить пользователей безопасному поведению ("простые пароли это плохо, пнятно?") - или просто забанить их всех и пусть в интернете будут только уверенные грамотные пользователи, не связанные с корпоративными тайнами. Оставьте интернет хакерам — в онлайне и так уже тесно.

В качестве подарка мы принесли вам инструкцию. Пользуйтесь на здоровье.

Президент и главный юрист Microsoft Corp Брэд Смит поделился вчера в эфире CBS впечатляющей цифрой: количество хакеров, участвовавших в атаке на SolarWinds (за которой, по мнению американских спецслужб, стоит Россия), — не меньше 1000 человек.

Отметим, что 1000 человек — это целый батальон. А если учитывать приданных эникейщиков, сисадминов и подносильщиков кофе, — то и батальонно-тактическая группа.

Это, конечно, если пастор нам не врёт. А то, знаете, некоторые компании любят приврать невероятную мощь хакеров, которые проникли в их сеть.

Пару дней назад Яндекс показал мастер-класс по открытости, опубликовав новость о поимке администратора, продававшего налево доступы к почтовым ящикам. Всего злоумышленник продал посторонним 4887 аккаунтов.

Волшебная сила поиска по интернету позволяет нам, не имея никаких инсайдов, оценить маржинальность этого бизнеса. Даже если до конечного исполнителя дошла хотя бы пятая часть, это ( около 50 млн руб ) всё равно огромная сумма.

Два вывода.

Если вы крупный сервис, вам надо прилагать очень большие усилия по обеспечению моральной устойчивости людей, имеющих доступ к пользовательским данным. Одной зарплаты, даже если она на верхней границе по рынку или выше — мало.

Если вы компания, котороая дорожит своей перепиской, вам предстоит дважды подумать, пользоваться ли облачными сервисами или всё таки держать свой почтовый сервер. Купить доступ к нему будет прилично дороже*

* При наличии хорошего админа.

Кстати. Красногорский городской суд московской области опубликовал решение по гражданину Зеленину С.А., который в 2019 году пытался продать базу клиентов Сбербанка. Наш читатель Александр обращает внимание на то, как в решении маскируются IP-адреса: корпоративный компьютер (IM8MO545IKS0001, IP-адрес: ДД.ММ.ГГГГ.122)

Но самая лучшая цитата из решения: После приглашения ночью в центр кибербезопасности Сбербанка и общения с сотрудниками, осознал всю тяжесть своего поступка.

Застенки сбербанка — это что-то новое.

Раз-два, Фредди идёт,
Три-четыре, сквозь двери пройдёт...

В недавних постах мы с вами написали удачный сценарий к фильму ужасов.

Вот как родился этот опрос: один из авторов канала "вот буквально на минуточку для одной маленькой проверки" сделал на VPS логин test с простеньким (не ржать!) паролем. Через "минуточку" (на самом деле - через три часа) он уже не смог в него зайти, а ещё через час пришлось отложить дела и заняться ответами на многочисленные abuse message, пришедшие хостеру.

А потом и разбираться, что за малварь приползла на машину. В малвари нашлись текстовые файлы со словарями, которые автор отправил второму автору канала. В телеграм, разумеется. "Зацени".

Второй автор заценил и занялся своими делами, а через некоторое время обнаружил, что после ухода компьютера в сон, операционная система (Windows) перестала принимать пароль от учётки.

Страшно, да? Похоже, что зловредная программа распространилась через текстовый файл используя, какой-то zeroday. 58% из вас так и подумают.

Впрочем, беглое гугление показала, что проблема встречается и без всяких хакеров. Кстати, похожую историю нам рассказали в комментариях: sudo в arch linux перестал принимать пароль пользователя. После перезагрузки всё восстановилось.

Из трёх описанных событий два - с высочайшей вероятностью - ошибки операционной системы. Но, не имея достаточно надёжных способов установить причину каждого из них, мы предполагаем злой умысел и вынуждены искать-то-не-знаю-чего, что подтвердило бы нашу теорию о взломе (54%). И, не найдя, скорее готовы поверить в то, что наша квалификация не позволяет обнаружить злоумышленника (45%).

Так построены лучшие фильмы ужасов -- саспенс -- состояние ожидания. В нём вы (58% из вас) находитесь практически постоянно, просто сидя в интернете. Потом появляется некая злая сила и герой понимает, что ни он, ни кто либо в мире -- ничего с ней сделать не может.

Каково это жить в фильме ужасов?

Ладно, давайте серьёзно. Делитесь в комментариях, как лично вы для себя решаете проблему детекта сложного взлома вашего компьютера? Смотрите в логи? Включаете аудит на какие нибудь артефакты? Расскажите. ОС неважна.

И снова к приключениям SolarWinds.

На днях всех участников этой специальной олимпиады вызвали к директору школы в Палату представителей американского Конгресса и там, среди прочего, спросили за пароль solarwinds123. Руководство Solarwinds повело себя образом достойным пятикласников и свалило вину за этот выдающийся случай на стажера.

Если верить их истории, некий гражданин под ником xkozus00 (интересно, что, кроме как на гитхабе, он этот ник не использует, нам не удалось найти его другие аккаунты) в 2017 году, будучи стажером, имел возможность на сервере downloads.solarwinds.com завести аккаунт solarwinds с правами на запись. И с паролем solarwinds123.

Затем он написал программу под названием mib-importer, в которой и использовал эту учётку. Вот тут пользователь hacker news отмечает, что импорт MIB-файлов в SolarWinds Orion делается через обращение в техподдержку (очевидно, речь идёт о добавлении нового устройства). Вероятно, mib-importer от xkozus00 и есть тот самый инструмент, при помощи которого техподдержка это делала.

Написанный софт xkozus00 разрабатывал на собственном аккаунте на гитхабе, где тот вместе с захардкоженным паролем и лежал чуть меньше трёх лет. Интересно, продолжал ли все эти годы фигурант работать в Solarwinds? Продолжали ли внутри SolarWinds пользоваться этим софтом? Предлагали ли ссылочку пользователям, которые очень часто обращались в техподдержку за добавлением новых MIB? У нас ещё много вопросов.

Руководство SolarWinds, тем временем, заявляет, что пока так и не выяснило, как же первоначально "русские хакеры" смогли подсунуть на тот же downloads.solarwinds.com свои пропатченные обновления к Orion. Может, они использовали пароль от Xkozus'а, а может, подобрали пароли к другим учёткам брутфорсом...

То есть были и другие учётки с не очень хорошими паролями? Мы пошли купим ещё попкорна. Не переключайтесь.

Сегодня первый день календарной весны, а мы снова про солнечные ветры.

После предыдущего поста, нам оставалось только пойти по следам того несчастного стажера, на которого руководство компании, кажется, готово повесить всех собак. И мы это сделали.

Пара слов про вчерашнее падение государственных и некоторых других сайтов.

Вы, наверное, уже видели сообщения из анонимных источников о том, что BGP-анонс со специально сформированным payload якобы уронил маршрутизаторы Juniper в Ростелекоме (и, наверное, даже посмеялись над этой новостью, ибо Juniper с версией 16.7 существовать не может по определению).

Мы тут смеяться не стали, а пошли выяснять, какие есть возможности.

Вот он — интересующий нас security bulletin (вот CVE): Ошибка при обработке входящих пакетов BGP в демоне Juniper Networks RPD (routing protocols process) позволяет злоумышленнику аварийно завершить работу RPD, тем самым вызывая отказ в обслуживании.

Среди версий JunOS существует версия 16.1R7, которая действительно уязвима к этому CVE. End of support этой версии наступал в январе 2020, но для R7 был продлён до января 2021. То есть, если всё описанное правда, то к инженерам Ростелекома будут большие вопросы о том, что это оборудование делает в продакшене. Но не гигантские, потому что всего три месяца неактуальная версия, чего вы хотите.

Остаётся вопрос: была ли это та самая кибератака, обещанная анонимным американским источником. И если да, то о ней знают не только Путин и окружение, как обещалось, но и вся страна.

PS: Важное дополнение. PoC к этой уязвимости публично не доступен.

После событий прошлой недели, когда не только падали российские сайты, но и ярким пламенем полыхал крупный европейский датацентр, мы собрали очень простую памятку по написанию аварийного плана для тех, у кого ещё нет ничего подобного, но кто созрел на то, что ему очень надо.

Пусть она окажется вам полезной.