В последнее время встречается очень много забавных новостей о том, как хакеры ломают хакеров.

Вообще, мне кажется, что мир инфобеза настолько развился, что в его "фауне" уже может происходить вообще, что угодно. Но смотреть на этот захватывающий виртуальный мир я могу только глазами Николая Николаевича Дроздова.

Перед нами давно известный механизм кражи средств с банковских карт — железка, которую злоумышленники прикрепляют к банкоматам. Вы только посмотрите, как эта железка мимикрирует под разъём для карточки и считывает данные пользователей, вставляющих в банкомат свои карты. Такой зверь называется скиммером.

Со временем, скиммеры эволюционировали и перешли в интернет. И теперь они селятся на сайтах разных онлайн-магазинов и выдают себя за область ввода данных с банковских карт. Такие веб-скиммеры называются MageCart в честь своих праотцов — первой применившей их группировки.

Но недавно, специалистами Malwarebytes был обнаружен новый вид этих паразитов, которые заводятся на ресурсах, уже поражённых MageCart.

Эти новые зверьки незаметно подселяются к старшему сородичу и воруют уже у него данные, которые тот прежде украл у пользователей. В случае, если MageCart обнаруживается и удаляется, новый веб-скиммер запускает собственную версию банковского терминала на заражённом ресурсе и продолжает своё тёмное дело.

Получается, что как и в живой природе, мы имеем дело не только с паразитами, но и с паразитами, которые на этих паразитах наживаются!

Кстати, Николай Николаевич завел Инстаграм и ТикТок. Возможно, этот мир еще можно спасти.

Гарри Поттер с точки зрения криптографии

Воскресный вечер с нынешней погодкой так и шепчет: сиди дома и читай телеграм. Поэтому сегодня будет рубрика "хозяйке на заметку" с легким налетом поп-фентези. Только окунитесь в эту атмосферу вечерней газеты в конце недели. Колонка редактора просто.

Я тут наткнулся 

на весьма годую статейку

 о разделении секрета. Самого настоящего секрета!

Как и в любой статье о паролях (ключах), первым делом здесь перечисляются основные требования к секретным последовательностям: 16 символов, случайность, двухфакторка. В общем, всё как надо. И уже эти вещи полезно освежить в памяти, так как практика говорит о наплевательском отношении пользователей к элементарным требованиям.

Несмотря на традиционное предложение использовать менеджеры паролей, авторы честно признают опасность такого рещения. А ну как сам менеджер будет скомпрометирован? И вот тут как раз начинается интересное.

Есть такое направление в криптографической науке, когда для тех или иных задач ключ разделяется на несколько частей. Вообще говоря, на сленге каждая такая часть называется "тенью". Ну или, если адаптировать под современную аудиторию, крестражами. По-моему, это не термин, а просто-таки находка.

Для чего же нужны крестражи?  Авторы советуют разделять пароль на две части. Одну часть пихать в менеджер паролей, а другую держать в уме. Тогда взломщик, получивший доступ к твоему хранилищу секретов, не сможет воспользоваться ими до тех пор, пока не сумеет каким-то способом выведать у тебя вторую часть.

Но здесь я бы хотел немного добавить от себя и испортить авторскую аналогию. Дело в том, что механизм разделения секрета гораздо более гибок, чем может показаться. Во-первых, ты можешь делить пароль не на две, а на сколько угодно частей, усложняя работу мошенникам. Крестражей, как ты помнишь, было семь. Во-вторых, существуют пороговые схемы разделения секрета, которые подразумевают возможность потери отдельных частей. В таком случае, тебе самому не придётся восстанавливать все кусочки, а хватит только нескольких из них. Например, в случае с Воландемортом, порог разделения равен единице, так как злому волшебнику для поддержания жизни нужен был хотя бы один крестраж из семи. 

С другой стороны, Гарри Поттеру потребовалось уничтожить каждый из них, чтобы добиться уязвимости Того-кого-нельзя-называть. Следовательно, крестражи - это скорее бэкапы, а никакие не тени, ведь в противном случае, Гарри Поттеру должно было хватить одного крестража для восстановления и последующего уничтожения остальных.

Хочу также добавить, что разделение секрета удобно использовать для передачи конфиденциальной информации. Секрет делится на несколько частей и засылается разными каналами получателю. При таком раскладе, задача злоумышленника усложняется в несколько раз. Теперь ему нужно не только прослушивать канал связи, но и вычислять, каким образом передаётся каждая часть секрета. И даже если в отчаянии, он вычислит и разрушит, допустим, три канала из семи, пороговая схема, рассчитанная на четыре части, позволит полностью восстановить секрет на стороне получателя.

Времена и контексты меняются, а суть вещей — никогда.

Да, впереди полторы минуты философского чтения на тему ИБ.

На днях у компании CD Projekt Red вымогатели угнали исходники Cyberpunk 2077, третьего Ведьмака и других игр, попутно прихватив всю внутреннюю документацию, относящуюся к коммерческой тайне. Часть информации компании подверглась атаки шифровальщиком.

Первая мудрость про сайберпанк — не жили хорошо, не чего и начинать.

Но, получается, у CD Projekt Red пытались не просто скопировать их разработки, а целились в полное лишение компании её интеллектуальной собственности, чтобы затребовать выкуп.

Однако, резервные копии игр и персональные данные пользователей не пострадали. Поэтому злоумышленники останутся без выкупа, но с исходниками известных игр на руках. Но, спрашивается, что они с ними смогут сделать? Пофиксить баги и выпустить нормальный релиз уже от своего имени?

Эта история напомнила мне, как много лет назад у студии 20th Century Fox утекли полностью отснятые, но не обработанные спецэффектами вторые Люди Икс. Таким образом, задолго до выхода фильма, он стал доступен на пиратских носителях. Правда из-за отсутствия обработки, было видно, как персонажи летают на лесках, дерутся на фоне зелёного экрана и, в общем, больше похожи на психически больных, чем на супергероев. Помешала ли такая утечка фильму? Никак! Вторые Люди Икс собрал 407 миллионов долларов против 110, вложенных в него.


И еще из воспоминаний. Создатели сериала "Игра престолов" боролись с утечкой информации со съёмочной площадки. В ход шло всё: от фейковых сценариев с множественными концовками, которые выдавались актёрам, до невероятных размеров штаба по защите информации. Несмотря на это, спойлеры регулярно появлялись в сети. Другое дело, что создатели культового сериала умудрились так испортить концовку, что никто просто не поверил, когда сценарий последних серий стал общедоступен.

Но в дни пандемии рынок компьютерных игр вырос вместе с рынком телесериалов, оставив далеко позади индустрию полнометражного кино, в котором, кажется, сейчас вообще ничего стоящего и не делают. По этой причине, цель злоумышленников изменилась, а методы остались ровно такими же, как и много лет назад. Но, как показывает история, удачные атаки не должны являться поводом для беспокойства создателей годного контента. Если сериал или игра действительно годные, свой гонорар они в любом случае получат.

Подробнее и не расскажешь

​​Перед наступающим Днем Красной Армии оперативная обстановка на фронтах идеологической борьбы за будущее мировой сети серьезно осложняется. В этот раз заход пошел со стороны авторитетного инфосек издания ZDNet.

На фоне двух новостей о последствиях атаки на SolarWinds, "связанной с хакерами, имеющими вероятно российское происхождение", журналисты решили поставить вопрос о необходимости усиления присутствия американского государства в киберпространстве.

Обо всем по порядку.

Во-первых, заместитель советника по национальной безопасности Президента США Энн Нойрберг заявила на брифинге, что в ходе атаки Sunburst на компанию SolarWinds были скомпрометированы девять правительственных американских агентств, включая Министерство внутренней безопасности и Госдеп, а также около 100 американских коммерческих компаний, существенная часть из которых является технологическими.

Во-вторых, Microsoft в отчете о последствиях взлома своей сети в рамках атаки Sunburst сообщили, что хакеры искали способы по дальнейшему расширению своего присутствия, а также выкачали из репозиториев исходные коды компонентов Azure, Intune и Exchange.

И параллельно с этим журналист Робин Харрис выпускает программную статью, в которой объясняет, со ссылкой на последствия и масштаб атаки на SolarWinds, что частные компании не в силах более обеспечить защиту от кибератак, а посему американское правительство просто обязано вмешаться в инфосек со всей своей дури.

Логика проста - по оценке Microsoft в подготовке Sunburst участвовало по крайней мере 1000 программистов (мы про это писали, тысячи русских хакеров, ага). Как полагают журналисты, ни одна коммерческая компания не в силах выделить такие ресурсы на проведение атаки, а значит за ней стоят государственные структуры. Да еще, "вероятно российского происхождения", хотя, напомним, за прошедшие почти 3 месяца с момента обнаружения атаки и обвинения в сторону русских хакеров не появилось ни одного весомого подтверждения в пользу этой версии. Но в современном инфосек это и не требуется, он теперь политизирован не хуже спорта и пр.

А поэтому противодействовать подобным атакам должна государственная структура, некая надсетевая полиция. Глобальная сила понятного происхождения.

Дальше проводятся аналогии с американской армией, с тем, какая она сильная и всю планету в страхе держит. По аналогии должны быть созданы и Вооруженные силы цифровой защиты США, которые будут всех нагибать.

А если их не создать, то все прогнутся перед Россией, которая срощена с киберпреступным сообществом.

Какой-то хтонический звиздец.

В погоне за техническими решениями, 0-day уязвимостями и хоть какой-то оригинальностью в череде шифровальщиков, которыми нас балуют иб-новости, мы как-то стали забывать про классику успешных компрометаций систем. А именно, засранцев на рабочем месте. Или внутреннем нарушителе.

О вечной проблеме напомнил Яндекс: один из трех местных сисадминов, занимавшийся обеспечением технической поддержки сервиса, просто сливал доступы к почтам клиентов. 4887 ящиков были скомпрометированы.

Всем пострадавшим уже были высланы уведомления о необходимости смены паролей от учеток. Ну а инцидент расследован. Яндекс пообещал даже пересмотреть сам процесс работы, чтобы минимизировать влияние человеческого фактора.

Но кто вернет веру в людей?

Сначала столкнулся лично, а потом прочитал, как это бывает. Короче, наткнулся на интересную статью, которая будет полезна многим, хотя бы просто для общей эрудиции.

Возможно, и ты заметил, что приложение Сбербанк Онлайн недавно перестало воспринимать действительные пароли от учётки. Саму ситуацию, вероятно, не следует считать чем-то опасным. В конце концов, когда ты последний раз менял пароль в банковском приложении?

Проблема возникает позднее, когда выясняется, что для установки нового пароля достаточно знать номер банковской карты и номер телефона, к которому она привязана. Ситуация довольно странная, так как номер карточки, в отличие от CVC, может вообще публиковаться пользователем для тех или иных нужд. А симку с номером телефона злоумышленнику может предоставить сотрудник салона сотовой связи, если его хорошо попросить.

И всё. Дальше злоумышленник получает доступ ко всем твоим счетам и возможность оформить кредит или воспользоваться кредитной картой, которые Сбербанк радостно раздаёт налево и направо.

И самое главное. Пока сам банк не займётся решением этой проблемы, нам остаётся только сохранять бдительность и следить за оповещениями о смене пароля в приложении. Да и то, это довольно ненадёжное решение, так как смски от Сбера могут доходить с большим опозданием или не доходить вообще, особенно, если ты отключил эту функцию.

Пожалуй, начну сегодня с небольшого ликбеза. Знаешь ли ты такой термин, как IOC? В народе безопасников так обозначается индикатор компрометации. IOC — это сущность (айпишник, ссылка, почтовый адрес, хэш и т.д.), выявление которой на устройстве с большой долей вероятности означает компрометацию этого устройства. Если непонятно, то вот тебе пример.

Тут как раз Бизоны обнаружили новую фишинговую атаку, в ходе которой жертва, открывшая вредоносный файл, получает целый букет всякой дряни на своей машине. Примечательно, что многие вредоносы и инструменты взяты с обучающего репозитория с милым названием NYAN CAT.

Казалось бы, очередная история с человеческим фактором, когда можно только бить по рукам незадачливых сотрудников в надежде на их внимательность. Однако, именно здесь в на сцену выходят IOC`и. Дело в том, что при конкретной атаке злодейское ПО всегда загружается с одного и того же файлообменника top4top[.]io. И именно ссылка на него, в данном случае, и является индикатором компрометации.

Теперь, если вы хотите защитить свою сеть от обнаруженной атаки, необходимо блокировать все запросы к top4top[.]io. Этот файлообменник довольно редко используется в наших краях, а потому, любое обращение к нему почти наверняка должно вызывать серьёзные подозрения.

Ты знаешь, что я без зазрения совести ищу для тебя новости в разных источниках. В том числе и у других ТГ-каналов. Поэтому сегодня хочется поделиться кое-чем, что мне просто нравится читать.

Сегодня в рекомендациях — канал "Свидетели и Егоры": свежие стикеры ежедневно, обзоры главного в телеграм-каналах, новости политики, медиа и науки.

Подписывайтесь.

А я ведь говорил, что лучше комбинировать и делать составные пароли из нескольких частей. Ну и куда вас привели эти менеджеры паролей? Снова ко мне?

*если что, это был супергеройский мемас на супергеройский мемас из пикчи*

​менеджер паролей LastPass оказался «пропитан» трекерами сторонних компаний

Мало того, что в таком приложении страшновато хранить пароли, так ещё и сами разработчики сервиса не могут быть уверены, что трекеры не крадут подобный тип данных у пользователей:

https://tprg.ru/F9Rn

Тут 24 февраля состоялся релиз дистрибутива Kali Linux 2021.1. И я подумал, что в своём канале о безопасности не могу не упомянуть это событие. В конце концов, это инструмент, которым пользуются и хорошие, и плохие парни из мира пентеста.

Для начала, Kali Linux — это операционка, которая просто нашпигована различными инструментами для исследования защищённости объектов. Согласно новости на сайте разработчиков, новый дистрибутив прокачан в плане красивостями — нескучными обоями, переработанными графическими оболочками. Да и в работе операционка стала более дружелюбной к пользователям. Так, в новом Kali Linux появилась фича Command-Not-Found, которая следит за тем, что ты вводишь в командную строку. И если ты опечатаешься в названии утилиты или попытаешься использовать неустановленную программку, система либо поймёт, что ты имел в виду, либо найдёт утилиту в репозитории и предложит её установить.

Ну и конечно, в новом релизе появилась целая пачка новых инструментов. Приводить полный список смысла не имеет, так как он представлен по уже упомянутой ссылке. Если нет желания читать на английском, то вот краткий перевод на русском.

В целом, нельзя сказать, что новый релиз даёт сильно больше возможностей, по сравнению с прежними версиями. Но Kali Linux сам по себе настолько удобен и интересен, что я настоятельно рекомендую тебе скачать его, поставить на вируталку и "пощупать" его возможности. Тем более, что дистрибутив распространяется свободно под лицензией GPL.

Я тут совсем недавно рассуждал о безопасности онлайн-банкинга Сбера. О том, что смена пароля происходит там явно не самым защищённым образом. Но тут появилась ещё одна новость, которая отлично дополняет предыдущую.

На днях Владимиром Путиным был подписан закон, дающий право ФСИН блокировать телефонные номера, которыми пользуются заключённые в тюрьмах. К чему бы это? Да всё к тому же. Думаю, не только мне с завидной регулярностью звонят сомнительные личности, представляются сотрудниками службы безопасности Сбербанка и сообщают, что из моего личного кабинета поступил запрос на получение кредита или на перевод некоторой суммы денег.

Мало того, что сам повод для звонка является весьма сомнительным — ну перевёл я куда-то деньги, со всеми случается — так ещё и звонящие начинают диктовать какие-то бессмысленные условия, типа "пока вы не выполните все необходимые действия, вешать трубку запрещено". Многих, у кого хватило нервов и иронии довести разговор до логического завершения, в конце ждёт приятный сюрприз, когда "специалист" на том конце провода выругается и бросит трубку.

Естественно, мы имеем дело с масштабной атакой через человеческий фактор. Сотрудники фальшивого колл-центра давят на самые сильные инстинкты, запугивая жертву и не давая ей времени задуматься над происходящим. И ведь это прекрасно работает!

Немного статистики. По данным Сбера, "колл-центр" из пятидесяти человек может обзвонить за неделю более двадцати тысяч жертв. Половина абонентов снимет трубку. Из них — две трети сразу всё поймут и отключатся от разговора. Но среди той трети, которая продолжит общение, только часть останется, чтобы разводить злоумышленников на нервный срыв. Многие поведутся и принесут в копилку мошенников более семидесяти пяти миллионов рублей в месяц! И половина таких "колл-центров" располагается как раз в исправительных учреждениях.

Отсюда и понятно, зачем был принят такой закон. Говорят, право блокировать симки заключённых у органов ФСИН и операторов связи было и раньше. Но теперь, получается, это право станет обязанностью.

Новость, которую лучше рассказать поздно, чем никогда.

Наверняка ты слышал, что в конце февраля в одном из самых распространённых почтовиков Microsoft Exchange были обнаружены уязвимости, позволявшие злоумышленнику пробраться внутрь периметра жертвы через веб-клиент OWA (Outlook Web Access).

Microsoft выкатила срочные обновления и рекомендации для тех, кто по тем или иным причинам не может накатить апдейты прямо сейчас. Однако, лишь за этот короткий промежуток времени с конца февраля по начало марта более тридцати тысяч компаний по всему миру стали жертвами хакеров, эксплуатирующих эти уязвимости.

Особенно ярко отличились китайские хакеры из APT-группировки HAFNIUM, которые актизивировались уже после выхода обновлений и принялись атаковать тех, кто проявил нерасторопность.

На данный момент, статистика "необновлённых" компаний продолжает оставаться неутешительной.

Тут очередная прекрасная история подъехала. Здесь есть всё: и человеческий фактор, и слив информации, и даже тюрьма.

А сама история так же коротка, как и забавна. Некий немецкий стажёр, проходивший практику в тюрьме на окраине Берлина скинул друзьям по WhatsApp`у фото тюремного мастер-ключа. Здесь, пожалуй, стоит оговориться, что мастер-ключ — это без дураков ключ от всех дверей. Потому он и мастер.

По фотографии опытный слесарь "за сотку" может изготовить тебе точную копию ключа. А неравнодушные кореша с радостью пронесут эту копию своим братишкам, отбывающим срок в одном из колл-центров Сбербанка.

Надо ли говорить, что у немецких тюремщиков подгорело так сильно, что буквально за ночь было заменено шесть сотен замков во всей тюрьме. Сам же стажёр был незамедлительно отправлен в свободное плавание с неиллюзорной перспективой отдать пятьдесят тысяч евро за работу по смене замков.

А я вот думаю, а что было бы, если бы он отправил фото через Телеграм?

Прости за тишину! Возвращаюсь после небольшого простоя и сразу делюсь случившейся за это время милой историей, которую ты мог пропустить. Есть такая компания Cellebrite. Занимаются они тем, что делают сай-фай сказки про киберпанковый тоталитаризм былью: разрабатывают софт, вытягивающий данные из мобильных устройств. Послужной список клиентов богатый, от Китая до эскадронов смерти в Бангладеше. Не так давно Cellebrite объявила, что научилась ломать тот самый мессенджер Signal, и теперь её софт сможет вытягивать переписки в нём из устройства.

Signal в ответ не растерялись и решили изучить уязвимости в самих продуктах Cellebrite. Сделать это оказалось несложно. Помогла счастливая случайность: по совершенно невероятному совпадению, Мокси Марлинспайк из Signal нашёл чемоданчик Cellebrite во время обычной безобидной прогулки. Внутри чемоданчика оказались последние версии софта и целая куча адаптеров.

Результат исследования авторов очень порадовал. Оказывается, достаточно включить в исходники приложения совершенно безобидный файлик определённого вида. Когда софт Cellebrite просканирует это приложение и доберётся до файлика, можно будет изменить содержание репорта по устройству. Не только этого репорта, но и всех предыдущих с последующими. Убрать или добавить любые данные, адреса, контакты, файлы, в том числе рандомно, причём без изменений контрольной суммы и возможности отката. Более того, с помощью волшебного файлика можно исполнить любой код на машине, на которой запущен Cellebrite!

А выводы какие? А никаких. Signal ни на что не намекает. Говорит только, что следующие версии приложения будут периодически тянуть безобидные файлики, ничего не делающие внутри самого Signal и нигде не использующиеся. Выглядят только мило, а эстетика в софте — это важно.

https://signal.org/blog/cellebrite-vulnerabilities/

Тут недавно истёк срок действия NDA у сотрудников RSA Security, и они наконец-таки поведали о деталях легендарной атаки 2011 года. Атаки, напомню, очень ироничной: RSA всё-таки сама безопасностью занимается.

А почему легендарной? Потому что это была первая в мировой истории supply chain attack. Суть очень простая: не можешь вскрыть очень прочно защищённую компанию-цель — найди используемые ею продукты и вскрой их. Это сейчас такая история периодически повторяется (например, такое было с SolarWinds), а тогда — прямо настоящее новшество.

Если вкратце, хакеры вскрыли хранилище сидов. Эти сиды использовались для генерации 2FA-кодов в SecurID, основном продукте RSA. Учитывая, что среди пользователей десятки миллионов клиентов из банков, правительственных и военных агентств, крупных корпораций и иже с ними, получается довольно внушительно.

Безопасник RSA Тодд Литхэм первым заметил странного пользователя на сервере и заподозрил взлом. Его попытки помешать хакерам оказались безуспешными, как и все старания их после этого поймать. Злоумышленники ускользнули без следа, отобрав у RSA ценнейшие данные и репутацию. Оставили после себя только подозрения о том, что это был кто-то из киберразведки НОАК. Или нет?..

Полную саспенса историю можно почитать на Хабре. Спойлер: началось всё с того, что один сотрудник RSA сидел под старыми Виндой и Офисом, а также не поставил никаких ограничений на установку подозрительных программ. И вот пришло этому сотруднику, жившему в век до современных ИБ-тренингов, безобидное письмо на почту…

https://habr.com/ru/company/itsumma/blog/558604/

А ещё у нас недавно вышла статья на Хабре про серьёзную уязвимость в платформе для обучения пентестам TryHackMe. Оказывается, виртуальные стенды в ней — всевидящее око, с помощью которого при желании можно вытянуть с машин пользователей данные или что-нибудь на них поделать. Вот так вот сидишь, нарешиваешь виртуалки, а с твоей машины кто-то может майнить крипту.

https://habr.com/ru/company/tomhunter/blog/562826/

Роскомнадзор решил заблокировать доступ к VyprVPN и бесплатному встроенному ВПН Оперы для всех, кроме особого белого списка компаний. Затеяно всё это, конечно, для защиты тебя от запрещённого контента вроде Линкедина. Как результат, Опера оперативно убрала ВПН для российских пользователей, не согласившись фильтровать трафик. Кнопка включения ВПН пропала, а вкладка, где она была, из «Конфиденциальности и безопасности» стала просто «Безопасностью».

Пока ничего не известно о том, затронут ли похожие ограничения других ВПН-провайдеров, хотя якобы список целей Роскомнадзора на грядущие годы уже пару месяцев гуляет в сети. Если ему верить, дальше на очереди Hola! и ExpressVPN. Пару лет назад, помню, РКН под угрозой блокировки уже требовал у многих провайдеров из списка дать доступ к своим серверам в России и подключиться к блэклисту. В ответ те просто-напросто свернули эти самые сервера. Посмотрим, продолжится ли эта история.

https://habr.com/ru/news/t/563384/