Кстати, если спросить гугл о причинах взрывов аккумуляторов, он выдаст вот такой список. Последний пункт — самый важный. Опасайтесь его.

По техническим причинам ассортимент сырного отдела уменьшен. Приносим извинения за доставленные неудобства

Ransomware через уязвимость в Exchange пробрался в сеть логистической компании Bakker, и крупнейшая голландская сеть супермаркетов Albert Heijn осталась... без сыра. То есть вообще — уже десять дней там пустые полки. Хотя, вроде, наконец проблема решилась, и сыр скоро снова поступит.

К сегодняшнему введению санкций против наших коллег из Positive Technologies АНБ, агентство кибербезопасности и ФБР выпустили совместный боевой листок в котором, вроде бы, должны были однозначно указать на связь группы APT-29 с СВР РФ и одновременно — с известными кибератаками.

В реальности-же внутри написано дословно следующее: APT-29 продолжает использовать публично доступные уязвимости для атаки на США и их союзников, вот список. (приводится список из публичных CVE с 2018 по 2020 годы). К каждой уязвимости в списке приводится ссылка на прошлые отчёты означенных ведомств, в которых есть хоть какая-то конкретика. Так или иначе, ничего нового в сегодняшнем сообщении нет, сделано оно лишь для поддержания информационного шума.

Последние пару дней очередной раз поднялся громкий шум вокруг индексации поисковыми системами корпоративных аккаунтов в Trello.

Случилось это не первый раз и не последний, так, что хотим напомнить о том, что любые положенные в интернет и не закрытые логином и паролем данные рано или поздно попадут в поисковики. Секретная ссылка, пусть и с файлом robots.txt — не самая лучшая схема сокрытия информации. Да и логин с паролем не всегда спасают.

Сто лет советской/российской шифровальной службе.

Кто о чём, а мы будем об уязвимостях и человеческом факторе.

Дэвид Кан в своей книге Codebreakers (если не читали, то рекомендуем) рассыпался в похвалах в адрес советских коллег, сообщая, что грамотно сконструированные шифраторы навечно сохраняют в секрете от врагов России ее наиболее важную дипломатическую, агентурную и военную переписку.

Впрочем, эти слова Кан писал до того, как ЦРУ сняло секретность с одного из самых больших советских провалов на криптографическом фронте: c 1942 по 1948 год, вопреки заветам Котельникова-Шеннона, НКВД использовало не совсем одноразовые шифроблокноты: время от времени случались повторы.

Американский археолог (!) Ричард Халлок, которого АНБ привлекло в проект по вскрытию советских шифров, получивший название "Венона", доказал наличие таких повторов, после чего, некоторые шифротелеграмы удалось вскрыть. Причём за отсутствием подходящих вычислительных мощностей вся работа проводилась вручную и продолжалась аж до 1980 года, когда все поддающиеся вскрытию телеграммы уже перестали представлять какой-то интерес. кроме археологического.

Жервами Веноны предположительно стали и Клаус Фукс и супруги Розенберг и Ким Филби. В 1948 году в НКВД обнаружили ошибку и повторное использование случайных последовательностей прекратилось. Похвала Дэвида Кана снова стала соответствовать реальности.

На иллюстрации — зал шифрующей аппаратуры на "Объекте № 16". Фотография из акта о приёмке объекта в эксплуатацию, 1944 год.

Знаете, что это на фотографии?

Это въезд на один из объектов компании Colonial Pipeline Co, о которой в нашей индустрии последние три дня только и разговоров.

И смотрите что удивительно: забор, колючая проволока, камеры, датчики, будка с ЧОПом. И даже реклама методики "Остановись - Подумай - Сделай - Проверь" (ради этой рекламы мы и выбрали конкретный объект), которая явно насаждается в компании для усиления безопасности (той, которая safety). Ещё рядом с насосными станциями компании можно разглядеть дизельные генераторы и даже ветроуказатели (типа "полосатый тряпичный конус").

То есть существует какой-то риск-менеджер, который составляет модель угроз и насаждает в компании стратегии снижения риска: вот забор и камеры от террористов и охотников за металлом/нефтью, вот методики от ошибочных действий персонала, вот дизели на случай отключения электропитания.

А потом внезапно приходит ransomware — и компания перестает работать вообще. И ладно бы какая-то небольшая, так ведь это крупнейший трубопроводный оператор! И несмотря на меры, принимаемые властями и нефтетрейдерами — дефицит бензина, очереди на заправках и прочее, и прочее, что невероятно дорого обойдётся экономике.

Получается, что этот, как сказали бы у нас, субъект критической инфраструктуры, оказался, во-первых, весьма лёгкой для Ransomware целью. Причём, не просто сама компания, но её технологический сегмент.

Во-вторых, оказывается, что у крупнейшего трубопроводного оператора страны нет никакого аварийного плана, позволяющего в подобной ситуации сравнительно быстро ввести инфраструктуру в строй. Вот и полнится интернет фотографиями, как жители США закупают впрок десятки канистр с бензином.

Если бы такое произошло от отключения электропитания, от проникновения на территорию заблудившегося гризли или от похищения оборудования, в первую очередь в виноватые записали бы саму компанию. Потому что не огородили, не охраняли, не позаботились о генераторах. А тут все обращают внимание пока только хакеров, хотя, честно сказать, стоит задать компании много интересных вопросов.

Работая над списком тем для наших обучающих игр (ну, там, "фишинг", "безопасные пароли", "размещение важной информации в открытых источниках", "социальная инженерия", вот это всё), собрали такой список из трёх первичных навыков, которые нужны человеку для выживания в современном киберпанк-мире:

— Знание, что от вас хотят киберпреступники (спойлер: ничего, они хотят деньги вашей компании);
— Разумное недоверие;
— Внимательность.

Остальное — важные, но детали.
Вы вот согласны?

Кстати, о внимательности и разумном недоверии.

Мошенники, выдававшие себя за... Илона Маска, за последние полгода выманили у своих жертв примерно 2 миллиона долларов в криптовалюте. Об этом пишет в майском пресс-релизе Федеральная Торговая Комиссия США.

Между прочим, не такой простой процесс: странички-клоны аккаунта Маска велись годами и полностью дублировали его контент, чтобы в нужный момент пригласить всех читателей поучаствовать в крайне выгодной сделке. Твиттер, конечно, удаляет подобные аккаунты, но за всеми не уследишь. А дальше дело техники, социальной инженерии человеческой жадности и невнимательности.

Интересно, что с технической точки зрения схемы у кибермошенников из разных стран примерно одинаковые, зато тщательно подбирается локализация и грамотно используются вызывающие безоговорочное доверие локальные реалии: в России мошенники, чаще всего, используют для прикрытия Сбер и его службу безопасности, а в США — Илона Маска...

На этой прекрасной фотографии капитан Александр Гарлэнд — "оператор криптографии" из 341-го "эскадрона поддержки операций" — показывает нам деревянную пирамиду про то, что защита американских межконтинентальных баллистических ракет сводится к разделению секрета между двумя офицерами.

Того самого секрета, который, как минимум, до середины семидесятых вводился руками и состоял из восьми нулей, чтобы не дай бог кто чего не перепутал при запуске.

Не знаем, что смешнее.

Тот факт, что Министерство Юстиции США изъяло у группировки DarkSide биткойны, выплаченные Colonial Pipeline в качестве выкупа... Потому, что у ФБР был ключ от кошелька на который деньги поступили после всех переводов (прочитайте ещё раз и медленно).

Или тот факт, что Минюст уже грохнул сообщение об этом со своего сайта. В кэше телеграма оно есть, ссылка на него на сайте есть, а сообщения нет.

А вы как думаете? Есть ключи от ваших кошельков у ФБР?

upd: Олег Шакиров нашел исходное сообщение в кэше бинг.
upd2: Минюст вероятно тоже нашел исходное сообщение в кэше бинг и вернул на место. В нём ничего не поменялось. В общем этот пост теперь вдвое менее смешной, сорян.

По результатам вчерашнего опроса: вы все уверены, что у ФБР нет ключей от ваших кошельков (которых у большинства, в свою очередь, нет) и скорее всего вы правы.

Мы изучили главный документ по делу -- показания федерального агента по имени ⬛️⬛️⬛️⬛️⬛️, на основании которых судом принималось решение о конфискации 63 биткойнов.

Итак, последовательность событий была такова: 7 мая ФБР получает от Colonial Pipeline (обозначаемых в документе, как "Victim X") сообщение о том, что те перевели 75 биткойнов вымогателям на их кошелёк.

Дальше вымогатели разделили сумму на две части (видимо между оператором Ransomware и партнёром обеспечившим проникновение в сеть Colonial Pipeline). 11 Биткойнов ушли в миксер и пропали из поля зрения ФБР.

Оставшаяся сумма в 63 биткойна тоже ушла в миксер, но по какой-то причине, застряла там до 27 мая.

27 мая произошло главное событие: некая зацензурированная сущность (см. иллюстрацию) — с очень высокой вероятностью владелец миксера — перевела 69 биткойнов (включающих те 63) на кошелёк, ключ от которого имелся у подразделения ФБР в Северном округе (District) Калифорнии.

Насладиться процессом ареста биткойнов можно в двух вчерашних транзакциях: 63 биткойна, имеющие отношение к истории с DarkSide переводятся на один кошелёк, оставшиеся 5, непонятно, как сюда попавшие - на другой.

Вот так. И никакой магии.

Кто хранит тайны? Море, вечность и... мы.

За последний год с онлайн-играми мы могли бы собрать неплохую базу связок почта-пароль и... Впрочем, этот канал про обратную сторону силы:)

Есть такое когнитивное искажение: систематическая ошибка внимания. На чем сфокусирован, на то и обращаешь внимание. И вот потенциальный участник игры получает игровые логин и пароль, ссылку и... видя перед собой форму логина вводит свои привычные - рабочую почту и пароль от нее. Мы это видим, потому что у нас подробные логи:) А если бы это были не мы?

Все просто: игра - она тоже по работе, из рабочей почты, и вообще эта работа кругом, кругом одна работа, никакой жизни от нее, что сюда нужно вбить... как это мой пароль не подходит? Позвоню-как в службу поддержки!

Кажется, все опять упирается в проблему внимательности и сфокусированности на том, что делаешь в данный момент.

Мы-то храним тайны, но ваши сотрудники точно не сеют широким жестом свои рабочие доступы направо и налево?

А, кстати, именно когнитивные искажения и грамотное их использование - это то, на чем работает вся социальная инженерия.

Итак, наступил тот неприятный момент, когда, придя утром в офис, вы на всех мониторах видите жуткой орфографии послание о том, сколько и куда биткойнов вы должны перевести, чтобы вернуть назад свои многогигабайтные базы.

Открывайте коньяк и слушайте.

Впрочем - нет. Давайте вернёмся чуть назад, ещё ничего не произошло, вы удобно сидите с чашкой вкусного чая и читаете этот пост.

Если вы - достаточно жирная пища (ну, в плане размера компании и суммы, которую с вас можно стрясти), злоумышленники не будут спешить с шифрованием. Они внимательно изучат, что и где у вас лежит. Найдут, где у вас самые чувствительные данные, найдут где у вас бэкапы. Они даже почитают ваши рекламные материалы, чтобы лучше понимать, чем вам угрожать в приветственном послании.

Из всего перечисленного для вас самое неприятное - это бэкапы. Потому что если ваши резервные копии тем или иным способом можно удалить, злоумышленники так и поступят. Займитесь неудаляемыми бэкапами, пока у вас спокойная обстановка и чай, а не паника и коньяк. Подходы тут есть разные: можно писать на сменные носители (от ретро-стримеров до дорогих SSD) и убирать их в стол, обеспечивая хотя бы двухнедельную ротацию - чтобы у вас всегда была копия двухнедельной давности. А можно придумать отдельный сервер с тщательным разграничением доступов.

Ок. Вы всё это прочитали и ничего, разумеется, не сделали. Вот теперь открывайте коньяк.

Через несколько часов вы возможно переведёте немного денег в криптовалюте на кошелёк злоумышленников (порицаем, но понимаем, что выхода у вас может не быть), а взамен получите заветный decryptor.exe . И тут самое время... Сделать бэкап. Потому, что декрипторы часто написаны кое-как и могут сделать с файлами странное. Поэтому, как бы вы ни спешили, расшифровывайте файлы по одному и смотрите на результат, а особенно - обращайте внимание на базы данных. Если файлы будут повреждены уже расшифровщиком, вы, скорее всего, лишитесь их навсегда, так что не пренебрегайте резервной копией хотя бы в этом случае.

И вообще, если вы столкнулись с шифровальщиком, напишите нам. Мы поможем вам организовать процесс реагирования без паники и необдуманных действий.

Эй, хакеры, а что бы вы сделали, обретя эти циферки, которые кто-то неосмотрительно бросил на сиденье в МЦК?

Наш читатель Евгений делится выдержкой из технических условий на некое изделие для РВСН, в котором написано, что некоторые модули памяти в целях безопасности могут быть пожароопасными.

К сожалению аббревиатура ДТД не раскрывается, но по контексту понятно, что "деструктор" имеет пиротехническую природу.

Если вы ООП-программист вам должно отдельно понравиться, что в некоторых классах вызов деструктора может иметь иные эффекты, нежели вы рассчитываете.

UPD: есть мнение, что означенное изделие можно увидеть на этом скриншоте.

Несколько дней назад проскочила новость класса facepalm про то, что сбербанковского телефонного робота можно обмануть подменой номера телефона. Банки вообще последнее время полюбили модные и молодёжные способы удобной авторизации клиентов.

Имеем по этому поводу сказать нечто стратегически важное.

Есть очень важная вещь, которую вообще мало кто может реализовать.

Допустим, у вас уже есть простой, не требующий заполнения от руки заявления в трёх экземплярах, способ сообщить в службу (информационной) безопасности о том, что сотрудник обнаружил направленные на него лично или на компанию атаки: фишинговые письма, подозрительную активность на своём компе, что ему звонил кто-то подозрительный и представлялся сисадмином и т.п.

Теперь сложное.

Чтобы этот канал связи работал, сотрудник должен быть абсолютно уверен в том, что на любое его сообщение отреагируют серьёзно и ответственно.

Во первых, что разберутся, примут меры (обязательно примут, не забьют!) и дадут какую-то обратную связь.

А во вторых, и это самое важное, даже если он сообщит о собственном косяке: вбил пароль на фишинговом сайте; словил троянца на порносайте; вставил флэшку, найденную перед входом в офис; переслал фиг знает кому документ с самой страшной тайной компании; оставил в интернете сервер, на который разрешено логиниться под root с паролем "123"...

В общем, о чём бы он ни сообщил, он должен быть уверен, что ему за это ни-че-го не бу-дет.

Причём в это "ничего" в том числе входит, что над ним не будут смеяться, тыкать пальцами, обсуждать в курилке, какой же он идиот. Спокойно отреагируют на его сообщение, спокойно исправят, спокойно скажут спасибо, что сообщил.