🪙 С чего всё началось: история Bug Bounty.

• Идея поиска уязвимостей в системах безопасности появилась задолго до написания первых программ. В XIX веке английская компания, разрабатывающая дверные замки, предлагала 200 золотых гиней (что-то около $30 тыс. по нынешнему курсу) за взлом одного из своих товаров. Тогда американский изобретатель Альфред Чарльз Хоббс принял вызов и справился с задачей за 25 минут, получив награду.

• Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.

• Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle. Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.

• К середине 90-х в мире уже произошло несколько крупных хакерских атак и начала формироваться современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер, обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.

• И 10 октября 1995 года Netscape запустили первую программу Bug Bounty (анонс на фото). Они платили пользователям бета-версии браузера Netscape Navigator 2.0, которые находили в нем уязвимости и сообщали об этом компании. По некоторым данным, Ридлинхаферу выделили первоначальный бюджет в $50 тыс. Наградами для участников программы служили не только деньги, но и товары из магазина Netscape.

• Что касается последователей Netscape, то первым в привлечении пользователей к поиску багов стала компания iDefense, занимающаяся вопросами безопасности. В 2002 году она запустила свою программу Bug Bounty. Сумма вознаграждения варьировалась в зависимости от типа уязвимости, объема предоставленной информации о ней и согласия пользователя не разглашать сведения о баге в будущем. Заработать на одном баге таким образом можно было до $500...

#bb #Разное

• Мошенники развели начальника отдела экономической безопасности онкоцентра Блохина на 85 миллионов рублей — скамеры даже купили ему сумки, чтобы уместить все деньги.

• Схема оказалась классической: все началось с телефонных звонков от якобы сотрудников ФСБ и Центробанка, которые убедили жертву в том, что все накопления под угрозой, и их надо положить на безопасный счёт.

• Следуя инструкциям через «Телеграм», наш герой снял 29 миллионов рублей и передал их курьеру, который назвал пароль «Облепиха». В следующие дни он снял ещё 50 миллионов и также передал их, упомянув тот же пароль.

• За пару дней начальник по экономической безопасности отнес скамерам три сумки, в которых лежали 29, 20 и 30 миллионов рублей, но этого оказалось мало — мошенники напугали мужика кредитами и убедили взять в долг еще 5 600 000 рублей...

➡️ Источник.

UPD: В официальном канале онкоцентра появилось сообщение, что новость является вбросом: https://t.iss.one/nmic_blokhina/3860

#Новости

• Я уже около месяца жду новую литературу по ИБ для проведения розыгрыша в этой группе, и сегодня в одном из TG-каналов увидел анонс новой книги по анализу защищенности Active Directory. Книга готовится к релизу и будет доступна в продаже уже в начале декабря. Когда литература появится в продаже, то я обязательно разыграю около 10 копий среди подписчиков, поэтому ждем. Вероятно, что уже на этой неделе запущу конкурс (но это не точно).

• Что касается самой книги, то она написана в виде пошагового руководства с созданием собственной лаборатории и позволит расширить свои знания в применении инструмента BloodHound.

• Всего будет 4 части:
➡Знакомство с интерфейсом BloodHound;
➡Знакомство с интерфейсом браузера neo4j;
➡Язык запросов Cypher;
➡Демонстрация расширения функционала BloodHound путем добавления новых узлов и связей, и их свойств, а также изменения интерфейса.

• Книга будет полезна пентестерам, специалистам SOC, специалистам по информационной безопасности и многим другим...

➡ https://alpinabook.ru/catalog/book-idyem-po-kibersledu

#Конкурс

• Awesome Cloud Security Labs - объемный набор бесплатных лаб для самостоятельного изучения безопасности облачных сред и технологий:

➡AWS;
➡Azure;
➡GCP;
➡Kubernetes;
➡Container;
➡Terraform;
➡Research Labs;
➡CI/CD.

➡ https://github.com/iknowjason/Awesome-CloudSec-Labs

#Cloud #ИБ

😟 Как спрятать любые данные в PNG.

• На хакерских конкурсах и играх CTF иногда попадаются задачки на стеганографию: вам дают картинку, в которой нужно найти скрытое сообщение. Наверное, самый простой способ спрятать текст в картинке PNG — прописать его в одном из цветовых каналов или в альфа-канале (канал прозрачности). Так вот, на хабре есть хорошая статья, где автор рассказывает о такой реализации:

➡️ https://habr.com/ru/articles/861932/

• По итогу мы сможем записать внутрь PNG другой файл или текст! Можем даже шифровать данные через AES!

• Код более развернутого решения можно найти на GitHub: https://github.com/in4in-dev/png-stenography (использование AES, сокрытие файлов в картинке).

#Стеганография

• Кстати о CTF! Мы с Кодебай готовим новогодний ивент, где участники смогут выиграть flipper zero и бесплатное обучение по некоторым популярным ИБ курсам.

• Принять участие сможет абсолютно каждый, а задания будут на самые разные темы. Решая задания Вы будете получать определенное кол-во баллов, которые приблизят вас к победе. Совсем скоро сделаю анонс, дам ссылочки для участия и распишу всё более подробно, поэтому следите за информацией, декабрь будет жарким 🔥

💡 Появление оптоволокна.

• Сотни лет назад моряки определяли свое местоположение в море по частоте вспышек на маяках. Каждый маяк имел свою «зарезервированную» частоту, примерно как сейчас в телевидением или радио. Даже ночью в тяжелых погодных условиях можно было точно понять, к какому конкретно порту приближается корабль.

• Важной вехой, которая приближает нас к теме статьи, стало изобретение в 1880 году Александром Беллом фотофона как альтернативы его телефону. Суть была такой: свет попадал на гибкое зеркало, которое перенаправляло луч к приемнику. Когда человек говорил, форма зеркала изменялась, периодически фокусируя или рассеивая свет. В свою очередь, в приемник были встроены селеновые ячейки — они изменяли свою проводимость в зависимости от интенсивности света. Появлялась последовательность электрических импульсов, поступающих на выводное устройство — точно как в телефоне.

• Однако такой принцип передачи был очень нестабилен: любые препятствия на пути света делали передачу невозможной. Нужно было защитить световой поток, поместив его в какую-то защитную оболочку и передавать. Но все-таки свет имеет свойство рассеиваться и преломляться — поэтому все намного сложнее, чем с потерями на кабеле при передаче электрического сигнала. В идеале нужно было получить «концентрированный» световой поток со строго определенной длиной волны, которая была бы наиболее эффективна в конкретных условиях применения. Ну и найти материал, в котором все это будет передаваться.

• Прорыв случился, когда в 1958 году появился лазер: устройство, усиливающее свет посредством вынужденного излучения. Это означало, что теперь можно было получить свет в нужном диапазоне частот и с нужной мощностью, да еще и направить его в нужную точку. Оставалось найти канал, в котором будет происходить передача.

• В 1961 году Элиас Снитцер опубликовал теоретическое описание одномодового волокна (SMF). Он предположил, что можно:

➡Направить ИК лазер через очень тонкий прозрачный канал из стекловолокна, диаметр которого сопоставим с длиной волны.
➡Поместить все в «отражающую» оболочку из более толстого стекла с меньшим показателем преломления.

• В результате свет будет испытывать полное внутреннее отражение на границе раздела двух сред с разными показателями преломления — все как в классической оптике. Потери из-за рассеивания будут меньше, а значит, сигнал можно будет передать на большее расстояние.

• Идея была хорошей, однако проблема была в составе материала, при прохождении через который волна света сильно затухала — в первых опытах речь шла о 1000 дБ/км. Если очень примитивно, то некоторые фотоны как бы «рассеивались» при взаимодействии с атомной структурой, и поток света становился слабее. Нужно было найти способ, как уменьшить количество «лишних» элементов и, как следствие, число паразитных соударений фотонов. Проще говоря, сделать материал более прозрачным, уменьшив количество примесей.

• В 1964 году Чарльз Као и Джордж Хокхэм в своих исследованиях предположили, что теоретически потери можно снизить в 50 раз — до 20 дБ/км. Они обнаружили, что идеально на роль проводника света с точки зрения прозрачности и чистоты подходит плавленый кварц, он же — кварцевое стекло. За эту работу Као и Хокхэм были удостоены Нобелевской премии по физике в 2009 году.

• В 1970 году инженер Дональд Кек нашел способ сделать кварц еще прозрачнее — легировать его титаном. Спустя еще два года исследований Кек обнаружил, что легирование кварца оксидом германия снижает затухание до невероятных 4 дБ/км. В 1973 году в Bell Laboratories был открыт процесс химического осаждения из газовой фазы — теперь можно было производить химически чистое стекловолокно в промышленных масштабах.

• Начиная с того времени, оптоволоконная связь начала распространяться по миру: например, в 1980 году с ее помощью была передана первая картинка с Зимних Олимпийских игр в Лейк-Плэсиде. Кабели начали прокладывать под водой и поняли, что про старые-добрые медные кабели для телекоммуникации можно забыть...

#Разное

👣 Форензика: Ваш цифровой след

• В этой статье мы поговорим о методах поиска информации в операционной системе #Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода:

➡ Читать статью [17 min].

#Форензика

⚠️ ДТП с участием дата-центра.

• Большинство компаний понимают важность создания бэкапов. Но вот беда — представление о том, что должна собой представлять стратегия резервирования данных, имеет не так много компаний. В результате они теряют информацию, клиентов, а значит, и деньги.

• Среди причин утери данных — неподготовленность компаний к критическим событиям (сбои в подаче электроэнергии, физический ущерб оборудованию, взлом и кража данных, природные катаклизмы и т.д.). Если не позаботиться о резервных копиях заранее — потом будет мучительно больно!

• Если говорить о внезапных событиях, которые приводили к потерям и убыткам данных, то здесь нельзя не вспомнить случай из 2007 года. Тогда компания Rackspace столкнулась с неожиданностью. В ее дата-центр врезался внедорожник. Водитель этого автомобиля страдал диабетом и во время поездки он потерял сознание, нога нажала на педаль газа, и машина, вылетев за пределы дорожного полотна, на всей скорости врезалась в объект, в котором располагался центр энергетической инфраструктуры дата-центра компании.

• Сразу заработала вспомогательная система энергоснабжения, но возникла проблема — не запустилась основная система охлаждения. Из-за этого оборудование быстро перегрелось, так что сотрудники компании приняли решение выключить все, чтобы сервера и другое оборудование не вышли из строя.

• В итоге дата-центр простоял без дела около пяти часов, в течение которого ничего не работало. Эти пять часов обошлись компании в $3,5 млн... и это в 2007 году...

➡️ https://tempesto.ru/

#Разное

🔐 День информационной безопасности!

• В 1988 году некоммерческая организация ISSA (Information Systems Security Association) объявила 30 ноября Международным днем информационной безопасности. Его основная идея — напомнить о важности кибергигиены.

• Праздник зародился в 1988 году не случайно — тогда произошло первое массовое распространение вируса-червя. 36 лет назад пользователи APRANET — сети, которая была прообразом современного интернета — обнаружили, что программы на их компьютерах стали грузиться медленно, при этом машины не отвечали даже на простейшие команды. Виновником коллапса, который «парализовал» 6 тыс. компьютеров (10% всей сети), стал сетевой червь Морриса. Это была первая успешная массовая кибератака.

• Атака не была преднамеренной, она стала результатом эксперимента, вышедшего из-под контроля. Создатель зловреда — аспирант Корнеллского университета Роберт Моррис. Он работал над программой, эксплуатирующей ряд известных уязвимостей того времени.

• Вирус Морриса атаковал учетные записи электронной почты пользователей сети ARPANET, подбирая пароли по словарю. Словарь был небольшой — порядка четырёхсот слов — но его хватало. В то время мало кто думал о компьютерной безопасности, и у многих логин часто совпадал с паролем.

• Получив доступ к аккаунту, червь использовал уязвимость в почтовом сервере Sendmail для самокопирования по сети. Однако в коде была допущена логическая ошибка, которая приводила к тому, что компьютеры заражались червем многократно. Все это замедляло их работу, истощая и без того небольшие ресурсы вычислительных систем того времени.

• Решать проблему начали в институте Беркли. Туда съехались лучшие специалисты по защите данных в Америке. Они занялись разбором кода червя и нейтрализацией последствий. Сегодня дискета с вредоносом находится в музее науки в Бостоне, а код можно найти и в открытом доступе.

• Суммарный ущерб, который нанес червь Морриса, приблизился к ста миллионам долларов. Помимо финансового ущерба, ноябрьский инцидент имел и другие последствия:

➡Роберт Моррис стал первым обвиняемым по новому закону «О компьютерном мошенничестве и злоупотреблении», принятом всего за четыре года до инцидента с червем. Моррис получил три года условно.
➡Атака червя впервые привлекла внимание передовых американских СМИ к сетевым угрозам.
➡Была создана организация CERT (Computer Emergency Responce Team). Она работает и по сей день, принимая сведения о возможных дырах и взломах в системе и публикуя рекомендации по их профилактике.

• При этом атака червя Морриса выявила главную проблему (которая не потеряла актуальность до сегодняшнего дня) — люди используют простые пароли. Стало ясно, что уровень осведомленности по вопросам информационной безопасности нужно поднимать. Потому и был предложен новый международный праздник по теме ИБ.

S.E. ▪️ infosec.work ▪️ VT

👩‍💻 Secret Docker Commands.

• Небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации. Держу пари, что Вы точно откроете для себя что-то новое и полезное.

➡02:23 - Manage Docker Resources;
➡05:11 - Remote Docker Servers;
➡07:05 - Copy Files;
➡08:03 - Troubleshoot Logs;
➡10:36 - Troubleshoot Network.

➡️ https://youtu.be/tNBwddCczK8

• Кстати, у автора этого видео есть очень крутой репо (4к🌟), который содержит огромное кол-во полезных команд: https://github.com/ChristianLempa/cheat-sheets/blob/main/tools/docker.md

• Дополнительно:

➡Шпаргалка с командами Docker;
➡Play with Docker - онлайн-сервис для практического знакомства с Docker;
➡Docker для начинающих + практический опыт - бесплатный курс, который состоит из 44 уроков, 76 тестов и 3,5 часа видео;
➡Docker Security - объемное руководство по безопасной настройке Docker.

#Docker #DevOps

Доброе утро... 🫠

#Понедельник

• В сети распространяется вредоносное ПО Scareware, которое имитирует повреждённый экран смартфона. Основная цель Scareware — заставить пользователей загрузить ненужное ПО или заплатить за поддельный антивирус. Логика, конечно, на высоте! Ведь то, что уведомление появляется поверх "разбитого" экрана должно насторожить пользователя... но жертвы всё равно есть...

• Помимо анимаций, оповещения распространяются также через события в календаре. Например, фишинговый сайт может запросить разрешение на добавление в календарь целого перечня событий, которые каждый час уведомляют пользователя о заражении вирусом, вынуждая жертву как можно быстрее решить проблему.

➡️ Более наглядно: https://youtu.be/tHLVwGfULMs

• В свою очередь напоминаю, что наш полностью бесплатный бот S.E. Virus Detect может осуществить проверку файла \ ссылки на предмет угроз и выдаст подробный отчет по итогу анализа. Всегда старайтесь проверять то, что скачиваете и по каким ссылкам переходите.

• P.S. Совсем скоро добавим новый функционал - дешифратор коротких ссылок. Если скормить такую ссылку боту, то вы узнаете, куда она приведёт в конечном счете. Всем безопасности!

#Новости

• Обещал вам более подробно расписать о нашем CTF с Кодебай: суть ивента заключается в прохождении заданий на разные темы, которые будут связаны с ИБ. Проходите задание - получаете ключик. Чем больше ключей, тем больше шанс выиграть ценные призы. Шанс на победу определяет бот-рандомайзер. Всё предельно просто.

• Теперь о заданиях! Все таски публикуются в боте @codeby_se_bot. Этот бот даст Вам всю необходимую информацию по данному ивенту (описание заданий, кол-во баллов за их выполнение, анонс новых заданий и т.д.). К слову, первое задание уже доступно для прохождения. Особое внимание обращаю на то, что задания являются временными, т.е. пройти самое первое задание уже через неделю будет нельзя.

Что по призам?
➡Курс «Специалист Security Operation Center»
➡Курс «Боевой OSINT»
➡Flipper Zero
➡x10 Telegram Premium
➡х10 подписок на Codeby Games

• Итоги подводим 30 декабря в группе @codeby_sec! Всем удачи ❤️

#Конкурс

📶 How SSH secures your connection.

• Весьма интересный и актуальный материал о том, какие меры безопасности реализованы в SSH для организации защищённого доступа в процессе подключения и работы:

➡️ https://noratrieb.dev/blog/posts/ssh-security/

• Дополнительный материал:

➡Практические советы, примеры и туннели SSH;
➡Полное руководство по SSH в Linux и Windows;
➡Наглядные примеры организации SSH туннелей для решения различных задач;
➡Объемная шпаргалка по SSH, которая пригодиться в работе;
➡Маленькие хитрости SSH;
➡Практические примеры SSH.

#SSH