🔓 Экономика темной стороны
В контексте хака Colonial Pipeline подкину вам #longread с интересными аспектами экономики DarkSide от Kim Zetter, автора книги про Stuxnet
https://zetter.substack.com/p/anatomy-of-one-of-the-first-darkside
Это история взлома другой компании, заплатившей выкуп в $2 млн. Несколько тезисов для затравки:
🔹 DarkSide - ransomware-as-a-service (RaaS), т.е. взлом их инструментами может осуществить кто угодно. Но не совсем, потому что группировка весьма избирательна - например, не желает общаться с англоязычными товарищами.
🔹 Реклама сервиса началась спустя несколько месяцев после успешного вымогательства у некой холдинговой компании. Своего рода бета-тестирование.
🔹 "Тестировали", конечно, не только на этом холдинге, известна как минимум еще одна компания, но та отказалась платить. А холдинг заплатил, несмотря на наличие бэкапов. Они посчитали, что восстанавливать дольше и дороже для бизнеса, чем заплатить (причем сильно выше среднего по рынку), тем более что имелась страховка от ransomware.
🔹 Компания получила инструменты для расшифровки файлов, но не на всех системах они сработали. Вымогатели ковырялись в проблеме вместе с привлеченными холдингом специалистами, и в итоге все получилось.
P.S. Когда пост уже был запланирован к публикации, появились новости о том, что Colonial Pipeline заплатила выкуп $5 млн.
✌️
В контексте хака Colonial Pipeline подкину вам #longread с интересными аспектами экономики DarkSide от Kim Zetter, автора книги про Stuxnet
https://zetter.substack.com/p/anatomy-of-one-of-the-first-darkside
Это история взлома другой компании, заплатившей выкуп в $2 млн. Несколько тезисов для затравки:
🔹 DarkSide - ransomware-as-a-service (RaaS), т.е. взлом их инструментами может осуществить кто угодно. Но не совсем, потому что группировка весьма избирательна - например, не желает общаться с англоязычными товарищами.
🔹 Реклама сервиса началась спустя несколько месяцев после успешного вымогательства у некой холдинговой компании. Своего рода бета-тестирование.
🔹 "Тестировали", конечно, не только на этом холдинге, известна как минимум еще одна компания, но та отказалась платить. А холдинг заплатил, несмотря на наличие бэкапов. Они посчитали, что восстанавливать дольше и дороже для бизнеса, чем заплатить (причем сильно выше среднего по рынку), тем более что имелась страховка от ransomware.
🔹 Компания получила инструменты для расшифровки файлов, но не на всех системах они сработали. Вымогатели ковырялись в проблеме вместе с привлеченными холдингом специалистами, и в итоге все получилось.
P.S. Когда пост уже был запланирован к публикации, появились новости о том, что Colonial Pipeline заплатила выкуп $5 млн.
✌️
🔓 Attacking Active Directory: 0 to 0.9
Технический #longread, в котором AD рассматривается с точки зрения атакующего. Документ впечатляет не только длиной, но и методичным подходом к изложению - от основ AD до механизмов и средств атаки. Не обойдется и без #PowerShell.
➡️ https://zer1t0.gitlab.io/posts/attacking_ad/
Возьмите на заметку, если в ваши задачи входит обеспечение безопасности Active Directory. Как говорится, на Microsoft надейся, да сам не плошай 👌
Технический #longread, в котором AD рассматривается с точки зрения атакующего. Документ впечатляет не только длиной, но и методичным подходом к изложению - от основ AD до механизмов и средств атаки. Не обойдется и без #PowerShell.
➡️ https://zer1t0.gitlab.io/posts/attacking_ad/
Возьмите на заметку, если в ваши задачи входит обеспечение безопасности Active Directory. Как говорится, на Microsoft надейся, да сам не плошай 👌
🔓 Применение Process Monitor для поиска уязвимостей с повышением привилегий
Сегодня у меня для вас относительно несложный и даже не слишком длинный #longread, просто в нем много картинок.
https://vuls.cert.org/confluence/display/Wiki/Finding+Privilege+Escalation+Vulnerabilities+in+Windows+using+Process+Monitor
Автор - Will Dormann, аналитик уязвимостей в CERT/CC. Отмечу, что одна из его защитных рекомендаций - не устанавливать программы за пределы Program Files. Это я разбирал в блоге. И что характерно, в обоих статьях фигурирует ПО Microsoft 🙈
#sysinternals
Сегодня у меня для вас относительно несложный и даже не слишком длинный #longread, просто в нем много картинок.
https://vuls.cert.org/confluence/display/Wiki/Finding+Privilege+Escalation+Vulnerabilities+in+Windows+using+Process+Monitor
Автор - Will Dormann, аналитик уязвимостей в CERT/CC. Отмечу, что одна из его защитных рекомендаций - не устанавливать программы за пределы Program Files. Это я разбирал в блоге. И что характерно, в обоих статьях фигурирует ПО Microsoft 🙈
#sysinternals
😎 У Bloomberg вышел занимательный #longread о простом украинском парне, который устроился тестировщиком в Microsoft и украл подарочных карт XBOX на $10 миллионов. Это не новость, а разбор инцидента уже после вынесения приговора.
XBOX - в данном случае просто маркетинговый брэнд, а картами (точнее - кодами с них) можно расплачиваться в магазине Microsoft за любые товары.
Покупки с тестовых аккаунтов магазин не высылал, конечно. Но тестировщик заметил, что коды генерировались рабочие! Тут-то ему карта и пошла ©
➡️ https://www.bloomberg.com/features/2021-microsoft-xbox-gift-card-fraud/
XBOX - в данном случае просто маркетинговый брэнд, а картами (точнее - кодами с них) можно расплачиваться в магазине Microsoft за любые товары.
Покупки с тестовых аккаунтов магазин не высылал, конечно. Но тестировщик заметил, что коды генерировались рабочие! Тут-то ему карта и пошла ©
➡️ https://www.bloomberg.com/features/2021-microsoft-xbox-gift-card-fraud/
Bloomberg.com
Robbing the Xbox Vault: Inside a $10 Million Gift Card Fraud
A junior Microsoft engineer figured out a nearly perfect Bitcoin generation scheme in the ultimate virtual currency cheat.
🔓 Сегодня у меня для вас #longread - эссе Бена Томпсона "Apple's mistake"
https://stratechery.com/2021/apples-mistake/
Вторую неделю мою ленту Твиттера бомбит от решения Apple сканировать медиафайлы на мобильных устройствах на предмет сексуального насилия над детьми (пока только в США) и сообщать властям о нарушениях. Компания обосновывает свои действия необходимостью защиты детей от насилия (FAQ в PDF).
ℹ️ Все изображения и видео в облаках ведущих компаний давно подлежат аналогичному сканированию. Другими словами, выкладывать детское порно в Google Drive - все равно что явиться с повинной. Когда-то пионером в этой сфере была Microsoft, которая даже бесплатно предлагала свою технологию другим ИТ-гигантам.
👉 Важность защиты детей под сомнение не ставится. Специалистов и адвокатов приватности бомбит от решения Apple сканировать файлы на устройстве.
Бен Томпсон, пожалуй, лучше всех сформулировал претензию. Два абзаца в моем вольном переводе:
... вместо добавления сканирования CSAM в iCloud Photos в облаке, которым компания владеет и управляет, Apple компрометирует телефоны, которыми владеем и управляем мы с вами, при этом игнорируя наши интересы. Да, можно выключить iCloud Photos, тем самым блокируя сканирование, но речь о политическом решении компании - возможность проникнуть в телефоны пользователей теперь существует, и пользователи не могут это предотвратить.
... Мое устройство должно быть моей собственностью, со всеми ожиданиями владения и вытекающей из этого конфиденциальности. Облачные сервисы, между тем, являются собственностью их владельцев, со всеми ожиданиями общественной ответственности и законопослушности. Крайне разочаровывает, что Apple настолько залипла на своем видении приватности, что предала точку опоры пользовательского контроля: уверенность в том, что ваше устройство действительно принадлежит вам.
===
Велик соблазн отмахнуться от происходящего простым "ой, да ладно, понятно же что у Apple есть доступ ко всему на моем телефоне". Доступ-то есть, но здесь речь про то, как именно он эксплуатируется ✌️
https://stratechery.com/2021/apples-mistake/
Вторую неделю мою ленту Твиттера бомбит от решения Apple сканировать медиафайлы на мобильных устройствах на предмет сексуального насилия над детьми (пока только в США) и сообщать властям о нарушениях. Компания обосновывает свои действия необходимостью защиты детей от насилия (FAQ в PDF).
ℹ️ Все изображения и видео в облаках ведущих компаний давно подлежат аналогичному сканированию. Другими словами, выкладывать детское порно в Google Drive - все равно что явиться с повинной. Когда-то пионером в этой сфере была Microsoft, которая даже бесплатно предлагала свою технологию другим ИТ-гигантам.
👉 Важность защиты детей под сомнение не ставится. Специалистов и адвокатов приватности бомбит от решения Apple сканировать файлы на устройстве.
Бен Томпсон, пожалуй, лучше всех сформулировал претензию. Два абзаца в моем вольном переводе:
... вместо добавления сканирования CSAM в iCloud Photos в облаке, которым компания владеет и управляет, Apple компрометирует телефоны, которыми владеем и управляем мы с вами, при этом игнорируя наши интересы. Да, можно выключить iCloud Photos, тем самым блокируя сканирование, но речь о политическом решении компании - возможность проникнуть в телефоны пользователей теперь существует, и пользователи не могут это предотвратить.
... Мое устройство должно быть моей собственностью, со всеми ожиданиями владения и вытекающей из этого конфиденциальности. Облачные сервисы, между тем, являются собственностью их владельцев, со всеми ожиданиями общественной ответственности и законопослушности. Крайне разочаровывает, что Apple настолько залипла на своем видении приватности, что предала точку опоры пользовательского контроля: уверенность в том, что ваше устройство действительно принадлежит вам.
===
Велик соблазн отмахнуться от происходящего простым "ой, да ладно, понятно же что у Apple есть доступ ко всему на моем телефоне". Доступ-то есть, но здесь речь про то, как именно он эксплуатируется ✌️
🌐 Почему Edge при запуске от имени администратора предлагает запуститься в обычном режиме для оптимальной производительности
Сегодня у меня для вас небольшой, но познавательный #longread за авторством Eric Lawerence, создателя Fiddler, поработавшего над браузерами в Microsoft, Google и снова Microsoft.
➡️ https://textslashplain.com/2021/01/07/sandboxing-vs-elevated-browsing-as-administrator/
Спойлер: производительность браузера одинаковая вне зависимости от того, с какими правами его запустили. Но поведение браузеров на Chromium любопытное.
ℹ️ При запуске от админа процессы браузера, обработчика ошибок и вспомогательные процессы запускаются с высоким уровнем целостности. Однако процессы рендеринга загнаны в песочницу и получают уровень целостности Untrusted, т.е. без доверия.
Безусловно, это повышает уровень безопасности, но есть еще и функциональные баги других компонентов. Например, баг AppLocker, из-за которого при запуске от админа падают все процессы рендеринга.
👉 Поэтому Edge при запуске с полными правами автоматически и незаметно понижает их до обычных.
Это поведение можно отключить параметром
Сегодня у меня для вас небольшой, но познавательный #longread за авторством Eric Lawerence, создателя Fiddler, поработавшего над браузерами в Microsoft, Google и снова Microsoft.
➡️ https://textslashplain.com/2021/01/07/sandboxing-vs-elevated-browsing-as-administrator/
Спойлер: производительность браузера одинаковая вне зависимости от того, с какими правами его запустили. Но поведение браузеров на Chromium любопытное.
ℹ️ При запуске от админа процессы браузера, обработчика ошибок и вспомогательные процессы запускаются с высоким уровнем целостности. Однако процессы рендеринга загнаны в песочницу и получают уровень целостности Untrusted, т.е. без доверия.
Безусловно, это повышает уровень безопасности, но есть еще и функциональные баги других компонентов. Например, баг AppLocker, из-за которого при запуске от админа падают все процессы рендеринга.
👉 Поэтому Edge при запуске с полными правами автоматически и незаметно понижает их до обычных.
Это поведение можно отключить параметром
--do-not-de-elevate, и вот тогда появляется сообщение как на картинке 👌
⬇️ Улучшения в накопительных обновлениях Windows 11
Сегодня у меня для вас тройной #longread!
🔹 Windows Updates using forward and reverse differentials
Это - white paper трехлетней давности про улучшения в #Windows10 1809+. Я так и не закинул документ сюда, потому что он настолько технический, что в двух словах не расскажешь. Надо читать целиком. Зато теперь самое время - ведь есть еще два примерно таких же :)
🔹 Windows 11 cumulative update improvements: an overview
Этот обзорный пост в блоге IT Pro относительно простой. Из него вы узнаете, что размер обновлений сократился на 40% благодаря скачиванию только измененных файлов. Чем актуальнее система, тем меньше качать.
Кроме того, в #Windows11 накопительные обновления перевели на платформу UUP. Пять лет назад она дебютировала в инсайдерских сборках, а в стабильных - в Windows 10 1703.
Теперь в MSU-файле поставляется агент обновления UUP, который оркестрирует установку объединенного пакета CU+SSU. Логика агента формируется на сервере, поэтому Microsoft получает больше возможностей для управления процессом обновления. Технология призвана снизить вероятность серьезных поломок ОС.
🔹 How Microsoft reduced Windows 11 update size by 40%
Небольшой, но сложный технически текст про технологию Reverse Update Data Generation. За счет нее уменьшили размер обновлений.
На хабре есть "перевод" этой статьи, но с купюрами и отсебятиной автора. Читайте в оригинале ✌️
Сегодня у меня для вас тройной #longread!
🔹 Windows Updates using forward and reverse differentials
Это - white paper трехлетней давности про улучшения в #Windows10 1809+. Я так и не закинул документ сюда, потому что он настолько технический, что в двух словах не расскажешь. Надо читать целиком. Зато теперь самое время - ведь есть еще два примерно таких же :)
🔹 Windows 11 cumulative update improvements: an overview
Этот обзорный пост в блоге IT Pro относительно простой. Из него вы узнаете, что размер обновлений сократился на 40% благодаря скачиванию только измененных файлов. Чем актуальнее система, тем меньше качать.
Кроме того, в #Windows11 накопительные обновления перевели на платформу UUP. Пять лет назад она дебютировала в инсайдерских сборках, а в стабильных - в Windows 10 1703.
Теперь в MSU-файле поставляется агент обновления UUP, который оркестрирует установку объединенного пакета CU+SSU. Логика агента формируется на сервере, поэтому Microsoft получает больше возможностей для управления процессом обновления. Технология призвана снизить вероятность серьезных поломок ОС.
🔹 How Microsoft reduced Windows 11 update size by 40%
Небольшой, но сложный технически текст про технологию Reverse Update Data Generation. За счет нее уменьшили размер обновлений.
На хабре есть "перевод" этой статьи, но с купюрами и отсебятиной автора. Читайте в оригинале ✌️
🌐 Заговор против IE6
Отличный #longread: A Conspiracy To Kill IE6. История о том, как веб-разработчики YouTube, тогда еще недавно купленной Google, успешно провернули операцию по сталкиванию IE6 в пропасть небытия.
Я читал это пару лет назад. А на днях товарищ dartraiden закинул в чат свежий перевод, опубликованный на Хабре https://habr.com/ru/post/594839/
Приятного чтения ✌️
Отличный #longread: A Conspiracy To Kill IE6. История о том, как веб-разработчики YouTube, тогда еще недавно купленной Google, успешно провернули операцию по сталкиванию IE6 в пропасть небытия.
Я читал это пару лет назад. А на днях товарищ dartraiden закинул в чат свежий перевод, опубликованный на Хабре https://habr.com/ru/post/594839/
Приятного чтения ✌️
❌ О блокировке макросов в Office
Если вы следите за новостями инфобеза, то должны были видеть новость о том, что теперь в Office макросы будут блокироваться по умолчанию. Начнут в апреле с Office 365 в канале Preview, затем в стабильных каналах, а потом доберутся и до Office 2021 → 2013.
Обычно, на этом подробности заканчиваются, поэтому рекомендую исходный пост в блоге IT Pro. Я же подкину немного контекста и истории вопроса.
Вообще, макросы и сейчас не запускаются по умолчанию. Однако они не блокируются всерьез. Единственный сдерживающий фактор - желтая плашка с кнопкой включения опасного содержимого. Кстати, а вы знали, что сама плашка тоже кликабельна? 😎
Теперь все будет серьезно! Изменение касается файлов из зон Internet и Restricted Sites. Контролируется это с помощью альтернативных потоков данных NTFS. Новая красная плашка пошлет пользователей читать онлайн-справку о том, как разблокировать документ с макросом. Поскольку пользователи не способны читать справку, макрос не запустится 💪 Кстати, #классика блога↑ появилась благодаря читателю, который не осилил семь слов инструкции по разблокировке скрипта рядом со ссылкой на его скачивание.
⌛️ По сути Microsoft вернулась к поведению Office... 2000 - 2003! Тогда максимум открывалась справка, где объяснялось, как открыть документ с включенными макросами. Will Dorman поделился в Твиттере своим отличным историческим экскурсом по UX запуска макросов в разных версиях Office. A Steven Sinofski рассказал о знаменитых вирусах WM/Concept.A, Melissa и ILOVEYOU со своей колокольни руководителя Office в те годы. Осторожно, очень #longread ✌️
Если вы следите за новостями инфобеза, то должны были видеть новость о том, что теперь в Office макросы будут блокироваться по умолчанию. Начнут в апреле с Office 365 в канале Preview, затем в стабильных каналах, а потом доберутся и до Office 2021 → 2013.
Обычно, на этом подробности заканчиваются, поэтому рекомендую исходный пост в блоге IT Pro. Я же подкину немного контекста и истории вопроса.
Вообще, макросы и сейчас не запускаются по умолчанию. Однако они не блокируются всерьез. Единственный сдерживающий фактор - желтая плашка с кнопкой включения опасного содержимого. Кстати, а вы знали, что сама плашка тоже кликабельна? 😎
Теперь все будет серьезно! Изменение касается файлов из зон Internet и Restricted Sites. Контролируется это с помощью альтернативных потоков данных NTFS. Новая красная плашка пошлет пользователей читать онлайн-справку о том, как разблокировать документ с макросом. Поскольку пользователи не способны читать справку, макрос не запустится 💪 Кстати, #классика блога↑ появилась благодаря читателю, который не осилил семь слов инструкции по разблокировке скрипта рядом со ссылкой на его скачивание.
⌛️ По сути Microsoft вернулась к поведению Office... 2000 - 2003! Тогда максимум открывалась справка, где объяснялось, как открыть документ с включенными макросами. Will Dorman поделился в Твиттере своим отличным историческим экскурсом по UX запуска макросов в разных версиях Office. A Steven Sinofski рассказал о знаменитых вирусах WM/Concept.A, Melissa и ILOVEYOU со своей колокольни руководителя Office в те годы. Осторожно, очень #longread ✌️
🔒 Windows Hello Cloud Trust в Windows 11 и Windows 10 21H2
Просматривая описание предварительного обновления KB5010415 неделю назад, я с изумлением обнаружил серьезную новую фичу. Где-то посередине одного из сложенных списков исправлений. Новостей об этом не было нигде 🤷♂️
Если локальная беспарольная аутентификация с использованием Azure AD для вас не пустой звук, предлагаю занимательный #longread!
👉 Новая технология отныне назначается любимой женой, в смысле рекомендуется вместо доверия на основе ключей. Для затравки тезисы из документации, опубликованной буквально вчера.
Доверие на основе облака в Windows Hello for Business (WHfB) опирается на Azure Active Directory (AAD) Kerberos. Технология призвана избавиться от основных болячек модели развертывания с доверием на основе ключей.
🔹 WHfB Cloud Trust упрощает развертывание, поскольку не требует внедрения PKI или изменения его текущей инфраструктуры.
🔹 Доверие на основе облака не требует синхронизации публичных ключей между AAD и локальным контроллером домена для пользователей, осуществляющих доступ к локальным ресурсам. Поэтому пользователи готовы аутентифицироваться сразу по окончании подготовки (provisioning).
🔹 Развертывание WHfB Cloud Trust позволяет внедрить беспарольные ключи безопасности с минимум усилий.
ℹ️ Сведения из первых рук:
• Статья Hybrid Cloud Trust Deployment (Preview) в документации Microsoft
• Серия твитов разработчика фичи, скопированная в блог. Он доступно объясняет, но надо владеть языком и темой.
Просматривая описание предварительного обновления KB5010415 неделю назад, я с изумлением обнаружил серьезную новую фичу. Где-то посередине одного из сложенных списков исправлений. Новостей об этом не было нигде 🤷♂️
Если локальная беспарольная аутентификация с использованием Azure AD для вас не пустой звук, предлагаю занимательный #longread!
👉 Новая технология отныне назначается любимой женой, в смысле рекомендуется вместо доверия на основе ключей. Для затравки тезисы из документации, опубликованной буквально вчера.
Доверие на основе облака в Windows Hello for Business (WHfB) опирается на Azure Active Directory (AAD) Kerberos. Технология призвана избавиться от основных болячек модели развертывания с доверием на основе ключей.
🔹 WHfB Cloud Trust упрощает развертывание, поскольку не требует внедрения PKI или изменения его текущей инфраструктуры.
🔹 Доверие на основе облака не требует синхронизации публичных ключей между AAD и локальным контроллером домена для пользователей, осуществляющих доступ к локальным ресурсам. Поэтому пользователи готовы аутентифицироваться сразу по окончании подготовки (provisioning).
🔹 Развертывание WHfB Cloud Trust позволяет внедрить беспарольные ключи безопасности с минимум усилий.
ℹ️ Сведения из первых рук:
• Статья Hybrid Cloud Trust Deployment (Preview) в документации Microsoft
• Серия твитов разработчика фичи, скопированная в блог. Он доступно объясняет, но надо владеть языком и темой.
