​​Перед наступающим Днем Красной Армии оперативная обстановка на фронтах идеологической борьбы за будущее мировой сети серьезно осложняется. В этот раз заход пошел со стороны авторитетного инфосек издания ZDNet.

На фоне двух новостей о последствиях атаки на SolarWinds, "связанной с хакерами, имеющими вероятно российское происхождение", журналисты решили поставить вопрос о необходимости усиления присутствия американского государства в киберпространстве.

Обо всем по порядку.

Во-первых, заместитель советника по национальной безопасности Президента США Энн Нойрберг заявила на брифинге, что в ходе атаки Sunburst на компанию SolarWinds были скомпрометированы девять правительственных американских агентств, включая Министерство внутренней безопасности и Госдеп, а также около 100 американских коммерческих компаний, существенная часть из которых является технологическими.

Во-вторых, Microsoft в отчете о последствиях взлома своей сети в рамках атаки Sunburst сообщили, что хакеры искали способы по дальнейшему расширению своего присутствия, а также выкачали из репозиториев исходные коды компонентов Azure, Intune и Exchange.

И параллельно с этим журналист Робин Харрис выпускает программную статью, в которой объясняет, со ссылкой на последствия и масштаб атаки на SolarWinds, что частные компании не в силах более обеспечить защиту от кибератак, а посему американское правительство просто обязано вмешаться в инфосек со всей своей дури.

Логика проста - по оценке Microsoft в подготовке Sunburst участвовало по крайней мере 1000 программистов (мы про это писали, тысячи русских хакеров, ага). Как полагают журналисты, ни одна коммерческая компания не в силах выделить такие ресурсы на проведение атаки, а значит за ней стоят государственные структуры. Да еще, "вероятно российского происхождения", хотя, напомним, за прошедшие почти 3 месяца с момента обнаружения атаки и обвинения в сторону русских хакеров не появилось ни одного весомого подтверждения в пользу этой версии. Но в современном инфосек это и не требуется, он теперь политизирован не хуже спорта и пр.

А поэтому противодействовать подобным атакам должна государственная структура, некая надсетевая полиция. Глобальная сила понятного происхождения.

Дальше проводятся аналогии с американской армией, с тем, какая она сильная и всю планету в страхе держит. По аналогии должны быть созданы и Вооруженные силы цифровой защиты США, которые будут всех нагибать.

А если их не создать, то все прогнутся перед Россией, которая срощена с киберпреступным сообществом.

Какой-то хтонический звиздец.

В погоне за техническими решениями, 0-day уязвимостями и хоть какой-то оригинальностью в череде шифровальщиков, которыми нас балуют иб-новости, мы как-то стали забывать про классику успешных компрометаций систем. А именно, засранцев на рабочем месте. Или внутреннем нарушителе.

О вечной проблеме напомнил Яндекс: один из трех местных сисадминов, занимавшийся обеспечением технической поддержки сервиса, просто сливал доступы к почтам клиентов. 4887 ящиков были скомпрометированы.

Всем пострадавшим уже были высланы уведомления о необходимости смены паролей от учеток. Ну а инцидент расследован. Яндекс пообещал даже пересмотреть сам процесс работы, чтобы минимизировать влияние человеческого фактора.

Но кто вернет веру в людей?

Сначала столкнулся лично, а потом прочитал, как это бывает. Короче, наткнулся на интересную статью, которая будет полезна многим, хотя бы просто для общей эрудиции.

Возможно, и ты заметил, что приложение Сбербанк Онлайн недавно перестало воспринимать действительные пароли от учётки. Саму ситуацию, вероятно, не следует считать чем-то опасным. В конце концов, когда ты последний раз менял пароль в банковском приложении?

Проблема возникает позднее, когда выясняется, что для установки нового пароля достаточно знать номер банковской карты и номер телефона, к которому она привязана. Ситуация довольно странная, так как номер карточки, в отличие от CVC, может вообще публиковаться пользователем для тех или иных нужд. А симку с номером телефона злоумышленнику может предоставить сотрудник салона сотовой связи, если его хорошо попросить.

И всё. Дальше злоумышленник получает доступ ко всем твоим счетам и возможность оформить кредит или воспользоваться кредитной картой, которые Сбербанк радостно раздаёт налево и направо.

И самое главное. Пока сам банк не займётся решением этой проблемы, нам остаётся только сохранять бдительность и следить за оповещениями о смене пароля в приложении. Да и то, это довольно ненадёжное решение, так как смски от Сбера могут доходить с большим опозданием или не доходить вообще, особенно, если ты отключил эту функцию.

Пожалуй, начну сегодня с небольшого ликбеза. Знаешь ли ты такой термин, как IOC? В народе безопасников так обозначается индикатор компрометации. IOC — это сущность (айпишник, ссылка, почтовый адрес, хэш и т.д.), выявление которой на устройстве с большой долей вероятности означает компрометацию этого устройства. Если непонятно, то вот тебе пример.

Тут как раз Бизоны обнаружили новую фишинговую атаку, в ходе которой жертва, открывшая вредоносный файл, получает целый букет всякой дряни на своей машине. Примечательно, что многие вредоносы и инструменты взяты с обучающего репозитория с милым названием NYAN CAT.

Казалось бы, очередная история с человеческим фактором, когда можно только бить по рукам незадачливых сотрудников в надежде на их внимательность. Однако, именно здесь в на сцену выходят IOC`и. Дело в том, что при конкретной атаке злодейское ПО всегда загружается с одного и того же файлообменника top4top[.]io. И именно ссылка на него, в данном случае, и является индикатором компрометации.

Теперь, если вы хотите защитить свою сеть от обнаруженной атаки, необходимо блокировать все запросы к top4top[.]io. Этот файлообменник довольно редко используется в наших краях, а потому, любое обращение к нему почти наверняка должно вызывать серьёзные подозрения.

Ты знаешь, что я без зазрения совести ищу для тебя новости в разных источниках. В том числе и у других ТГ-каналов. Поэтому сегодня хочется поделиться кое-чем, что мне просто нравится читать.

Сегодня в рекомендациях — канал "Свидетели и Егоры": свежие стикеры ежедневно, обзоры главного в телеграм-каналах, новости политики, медиа и науки.

Подписывайтесь.

А я ведь говорил, что лучше комбинировать и делать составные пароли из нескольких частей. Ну и куда вас привели эти менеджеры паролей? Снова ко мне?

*если что, это был супергеройский мемас на супергеройский мемас из пикчи*

​менеджер паролей LastPass оказался «пропитан» трекерами сторонних компаний

Мало того, что в таком приложении страшновато хранить пароли, так ещё и сами разработчики сервиса не могут быть уверены, что трекеры не крадут подобный тип данных у пользователей:

https://tprg.ru/F9Rn

Тут 24 февраля состоялся релиз дистрибутива Kali Linux 2021.1. И я подумал, что в своём канале о безопасности не могу не упомянуть это событие. В конце концов, это инструмент, которым пользуются и хорошие, и плохие парни из мира пентеста.

Для начала, Kali Linux — это операционка, которая просто нашпигована различными инструментами для исследования защищённости объектов. Согласно новости на сайте разработчиков, новый дистрибутив прокачан в плане красивостями — нескучными обоями, переработанными графическими оболочками. Да и в работе операционка стала более дружелюбной к пользователям. Так, в новом Kali Linux появилась фича Command-Not-Found, которая следит за тем, что ты вводишь в командную строку. И если ты опечатаешься в названии утилиты или попытаешься использовать неустановленную программку, система либо поймёт, что ты имел в виду, либо найдёт утилиту в репозитории и предложит её установить.

Ну и конечно, в новом релизе появилась целая пачка новых инструментов. Приводить полный список смысла не имеет, так как он представлен по уже упомянутой ссылке. Если нет желания читать на английском, то вот краткий перевод на русском.

В целом, нельзя сказать, что новый релиз даёт сильно больше возможностей, по сравнению с прежними версиями. Но Kali Linux сам по себе настолько удобен и интересен, что я настоятельно рекомендую тебе скачать его, поставить на вируталку и "пощупать" его возможности. Тем более, что дистрибутив распространяется свободно под лицензией GPL.

Я тут совсем недавно рассуждал о безопасности онлайн-банкинга Сбера. О том, что смена пароля происходит там явно не самым защищённым образом. Но тут появилась ещё одна новость, которая отлично дополняет предыдущую.

На днях Владимиром Путиным был подписан закон, дающий право ФСИН блокировать телефонные номера, которыми пользуются заключённые в тюрьмах. К чему бы это? Да всё к тому же. Думаю, не только мне с завидной регулярностью звонят сомнительные личности, представляются сотрудниками службы безопасности Сбербанка и сообщают, что из моего личного кабинета поступил запрос на получение кредита или на перевод некоторой суммы денег.

Мало того, что сам повод для звонка является весьма сомнительным — ну перевёл я куда-то деньги, со всеми случается — так ещё и звонящие начинают диктовать какие-то бессмысленные условия, типа "пока вы не выполните все необходимые действия, вешать трубку запрещено". Многих, у кого хватило нервов и иронии довести разговор до логического завершения, в конце ждёт приятный сюрприз, когда "специалист" на том конце провода выругается и бросит трубку.

Естественно, мы имеем дело с масштабной атакой через человеческий фактор. Сотрудники фальшивого колл-центра давят на самые сильные инстинкты, запугивая жертву и не давая ей времени задуматься над происходящим. И ведь это прекрасно работает!

Немного статистики. По данным Сбера, "колл-центр" из пятидесяти человек может обзвонить за неделю более двадцати тысяч жертв. Половина абонентов снимет трубку. Из них — две трети сразу всё поймут и отключатся от разговора. Но среди той трети, которая продолжит общение, только часть останется, чтобы разводить злоумышленников на нервный срыв. Многие поведутся и принесут в копилку мошенников более семидесяти пяти миллионов рублей в месяц! И половина таких "колл-центров" располагается как раз в исправительных учреждениях.

Отсюда и понятно, зачем был принят такой закон. Говорят, право блокировать симки заключённых у органов ФСИН и операторов связи было и раньше. Но теперь, получается, это право станет обязанностью.

Новость, которую лучше рассказать поздно, чем никогда.

Наверняка ты слышал, что в конце февраля в одном из самых распространённых почтовиков Microsoft Exchange были обнаружены уязвимости, позволявшие злоумышленнику пробраться внутрь периметра жертвы через веб-клиент OWA (Outlook Web Access).

Microsoft выкатила срочные обновления и рекомендации для тех, кто по тем или иным причинам не может накатить апдейты прямо сейчас. Однако, лишь за этот короткий промежуток времени с конца февраля по начало марта более тридцати тысяч компаний по всему миру стали жертвами хакеров, эксплуатирующих эти уязвимости.

Особенно ярко отличились китайские хакеры из APT-группировки HAFNIUM, которые актизивировались уже после выхода обновлений и принялись атаковать тех, кто проявил нерасторопность.

На данный момент, статистика "необновлённых" компаний продолжает оставаться неутешительной.

Тут очередная прекрасная история подъехала. Здесь есть всё: и человеческий фактор, и слив информации, и даже тюрьма.

А сама история так же коротка, как и забавна. Некий немецкий стажёр, проходивший практику в тюрьме на окраине Берлина скинул друзьям по WhatsApp`у фото тюремного мастер-ключа. Здесь, пожалуй, стоит оговориться, что мастер-ключ — это без дураков ключ от всех дверей. Потому он и мастер.

По фотографии опытный слесарь "за сотку" может изготовить тебе точную копию ключа. А неравнодушные кореша с радостью пронесут эту копию своим братишкам, отбывающим срок в одном из колл-центров Сбербанка.

Надо ли говорить, что у немецких тюремщиков подгорело так сильно, что буквально за ночь было заменено шесть сотен замков во всей тюрьме. Сам же стажёр был незамедлительно отправлен в свободное плавание с неиллюзорной перспективой отдать пятьдесят тысяч евро за работу по смене замков.

А я вот думаю, а что было бы, если бы он отправил фото через Телеграм?

Прости за тишину! Возвращаюсь после небольшого простоя и сразу делюсь случившейся за это время милой историей, которую ты мог пропустить. Есть такая компания Cellebrite. Занимаются они тем, что делают сай-фай сказки про киберпанковый тоталитаризм былью: разрабатывают софт, вытягивающий данные из мобильных устройств. Послужной список клиентов богатый, от Китая до эскадронов смерти в Бангладеше. Не так давно Cellebrite объявила, что научилась ломать тот самый мессенджер Signal, и теперь её софт сможет вытягивать переписки в нём из устройства.

Signal в ответ не растерялись и решили изучить уязвимости в самих продуктах Cellebrite. Сделать это оказалось несложно. Помогла счастливая случайность: по совершенно невероятному совпадению, Мокси Марлинспайк из Signal нашёл чемоданчик Cellebrite во время обычной безобидной прогулки. Внутри чемоданчика оказались последние версии софта и целая куча адаптеров.

Результат исследования авторов очень порадовал. Оказывается, достаточно включить в исходники приложения совершенно безобидный файлик определённого вида. Когда софт Cellebrite просканирует это приложение и доберётся до файлика, можно будет изменить содержание репорта по устройству. Не только этого репорта, но и всех предыдущих с последующими. Убрать или добавить любые данные, адреса, контакты, файлы, в том числе рандомно, причём без изменений контрольной суммы и возможности отката. Более того, с помощью волшебного файлика можно исполнить любой код на машине, на которой запущен Cellebrite!

А выводы какие? А никаких. Signal ни на что не намекает. Говорит только, что следующие версии приложения будут периодически тянуть безобидные файлики, ничего не делающие внутри самого Signal и нигде не использующиеся. Выглядят только мило, а эстетика в софте — это важно.

https://signal.org/blog/cellebrite-vulnerabilities/

Тут недавно истёк срок действия NDA у сотрудников RSA Security, и они наконец-таки поведали о деталях легендарной атаки 2011 года. Атаки, напомню, очень ироничной: RSA всё-таки сама безопасностью занимается.

А почему легендарной? Потому что это была первая в мировой истории supply chain attack. Суть очень простая: не можешь вскрыть очень прочно защищённую компанию-цель — найди используемые ею продукты и вскрой их. Это сейчас такая история периодически повторяется (например, такое было с SolarWinds), а тогда — прямо настоящее новшество.

Если вкратце, хакеры вскрыли хранилище сидов. Эти сиды использовались для генерации 2FA-кодов в SecurID, основном продукте RSA. Учитывая, что среди пользователей десятки миллионов клиентов из банков, правительственных и военных агентств, крупных корпораций и иже с ними, получается довольно внушительно.

Безопасник RSA Тодд Литхэм первым заметил странного пользователя на сервере и заподозрил взлом. Его попытки помешать хакерам оказались безуспешными, как и все старания их после этого поймать. Злоумышленники ускользнули без следа, отобрав у RSA ценнейшие данные и репутацию. Оставили после себя только подозрения о том, что это был кто-то из киберразведки НОАК. Или нет?..

Полную саспенса историю можно почитать на Хабре. Спойлер: началось всё с того, что один сотрудник RSA сидел под старыми Виндой и Офисом, а также не поставил никаких ограничений на установку подозрительных программ. И вот пришло этому сотруднику, жившему в век до современных ИБ-тренингов, безобидное письмо на почту…

https://habr.com/ru/company/itsumma/blog/558604/

А ещё у нас недавно вышла статья на Хабре про серьёзную уязвимость в платформе для обучения пентестам TryHackMe. Оказывается, виртуальные стенды в ней — всевидящее око, с помощью которого при желании можно вытянуть с машин пользователей данные или что-нибудь на них поделать. Вот так вот сидишь, нарешиваешь виртуалки, а с твоей машины кто-то может майнить крипту.

https://habr.com/ru/company/tomhunter/blog/562826/

Роскомнадзор решил заблокировать доступ к VyprVPN и бесплатному встроенному ВПН Оперы для всех, кроме особого белого списка компаний. Затеяно всё это, конечно, для защиты тебя от запрещённого контента вроде Линкедина. Как результат, Опера оперативно убрала ВПН для российских пользователей, не согласившись фильтровать трафик. Кнопка включения ВПН пропала, а вкладка, где она была, из «Конфиденциальности и безопасности» стала просто «Безопасностью».

Пока ничего не известно о том, затронут ли похожие ограничения других ВПН-провайдеров, хотя якобы список целей Роскомнадзора на грядущие годы уже пару месяцев гуляет в сети. Если ему верить, дальше на очереди Hola! и ExpressVPN. Пару лет назад, помню, РКН под угрозой блокировки уже требовал у многих провайдеров из списка дать доступ к своим серверам в России и подключиться к блэклисту. В ответ те просто-напросто свернули эти самые сервера. Посмотрим, продолжится ли эта история.

https://habr.com/ru/news/t/563384/

Вот казалось бы, смотришь — милейшая женщина. Верстает себе сайты, на форумах раздаёт советы тем, кто только начал постигать фронтенд, да рассказывает на страничке ВК, как хочет быть крутым программистом и летать к клиентам в разные страны. А потом раз, и милейшую женщину арестовывают во время перелёта над Майями как опасную киберпреступницу, работавшую над небезызвестным Trickbot.

Брайан Кребс изучил историю 55-ти летней Аллы Витте, которую в начале июня осудили за финансовые преступления в США. Оказывается, подкованная в делах малверных преступница до парадоксального беспечно относилась к собственной безопасности: её персональные данные были доступны всем членам кибергруппировки. Кроме того, малварь Trickbot лежала на сайте с её именным доменом, а сама Алла преспокойненько путешествовала там, где её могли перехватить американские спецслужбы. Спецслужбы, собственно, это и сделали.

В дополнение к истории Аллы Брайан Кребс рассматривает рекрутинговые процессы кибергруппировки Trickbot. Ничего особенного: сидят на каком-нибудь хедхантере, просматривают резюме программистов в поиске и скидывают тестовые задания. По этим заданиям многие потенциальные кандидаты быстро догадываются, для чего можно использовать подобный софт. Как водится, часть отказывается сразу, а с оставшимися начинают сотрудничать. Не догадаться, впрочем, довольно тяжело.

https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/

Думаю, не только мне начинали звонить с великодушными предложениями дать денег на разнообразных выгодных условиях, стоило только дыхнуть в сторону какого-нибудь банка своими данными. Ну да ладно, виртуальных номеров для таких широких душ не жалко.

А тут вот финтех-сервис начал получать жалобы от пользователей. Сливаете, мол, данные: едва финтех одобрил кредит, на номер тут же посыпались кредитные предложения от брокеров и других банков. Финтех изучил вопрос и пришёл к выводу, что спам льётся выборочно, только примерно трети пользователей. Всё проверили, от формы подачи заявки на кредит до обрабатывающего часть заявок сотрудника, и везде было чисто.

Оказывается, все данные сливает оператор: почитывает смски, выцепляет из них ключевые слова, приправляет данными из других источников и делится полученным с релевантными конторами. Даже договор с этими самыми конторами есть. Формально всё даже вполне законно. Ну, почти — просто никто не взялся. На самом деле абоненты не выдавали оператору согласий на всё, поэтому реализация довольно серая.

Неназванный финтех из ситуации вышел весьма благополучно — договорился с оператором, что с его клиентами так поступать не будут. А тебе посоветую всё же не делиться с различными формами настоящим номером, если до сих пор так делаешь. Сыплющихся со всех сторон щедрейших предложений потом не оберёшься.

https://habr.com/ru/company/domclick/blog/561774/

Недавно немало шума наделала история о взломе Electronic Arts. Напоминаю, хакеры залогинились в корпоративный Слак, написали во внутреннюю техподдержку и пожаловались, что посеяли телефон на последней вечеринке, не могут теперь никуда зайти. Поддержка посочувствовала да выдала им доступы. Находчивые тусовщики забрали немало ценностей, например исходники Frostbite и FIFA 21. Последние позднее отправились на продажу.

Внимательный читатель может поинтересоваться, как они в Слак-то вообще залогинились. Очень просто — купили слитые куки на Genesis Market, специальной закрытой площадке под это дело.

На маркете приобретается не конкретная куки, а «бот» — взломанная машина, часть ботнета. Все логины и явки, имеющиеся на этом боте, достаются покупателю. Если хочется, ещё можно воспользоваться браузерным расширением от Генезиса, чтобы полностью скопировать браузер жертвы. Иногда такое позволяет обходить 2FA: сервис просто распознает куки и не запрашивает дополнительных подтверждений.

Перед покупкой можно посмотреть, куки для каких сайтов есть на конкретном боте. Исследователи из ИБ-компании сообщают, что на Генезисе нашлось аж 3500 с лишним кук от Слака!

В завершение напомню тебе, что любым ценным данным в куках не место. Спрячь их хотя бы в менеджер паролей. Или в сейф, надёжно закопанный в потайном бункере.

https://www.vice.com/en/article/n7b3jm/genesis-market-buy-cookies-slack

Вот представь форум. На форуме сидят киберпреступники и занимаются своими обычными киберпреступными делами. Что же такого должен сделать киберпреступник, чтобы коллеги неодобрительно покачали головами и забанили его форумный аккаунт?

Самый забавный и самый же очевидный проступок — скам скамеров. Решает человек прикупить логи какой-нибудь ворующей пароли малвари, а продавец берёт с него деньги и благополучно исчезает. Если жертва убедительно докажет недобропорядочность торговца логами, админы форума забанят его аккаунт.

Нельзя неуважительно относиться к команде форума. Например, один незадачливый пользователь создал топик, в котором поинтересовался, не сотрудничает ли форум с органами. Модерация шутки не оценила, и пользователь поймал бан.

Разумеется, безжалостно банятся аккаунты, которых заподозрили в таком сотрудничестве. Обычно ИБ-исследователи выделяются среди форумчан пустыми аккаунтами и повышенным вниманием к названиям компаний, ставших жертвами преступников.

Ещё банят за несоблюдение кодекса чести киберпреступника, известного также как свод правил форума. Одно из самых общепринятых довольно известно: не таргетить свою же страну. Неприлично, понимаете ли, воровать что у коллег, что у сограждан.

В общем, ничто человеческое не чуждо.

https://www.digitalshadows.com/blog-and-research/why-do-users-get-banned-from-cybercriminal-forums/

Я на днях писал о том, как предприимчивые хакеры торгуют куками, украденными с заражённых компьютеров. И без подобных историй вполне очевидно, что делиться с браузером всеми-всеми паролями — это не очень разумно. Может, у меня профдеформационная паранойя, но я браузерному менеджеру паролей доверяю только то, что в любом случае было бы не жалко потерять.

В вечернем посте поделюсь статьёй как раз по теме. Если конкретно, о том, что менеджер паролей менеджеру паролей рознь. Онлайновые с облачным хранилищем отличаются от встроенного менеджера какой-нибудь Лисы примерно ничем. Ну, разве что лисовский побезопаснее будет, да и суммы в пару чашек кофе в месяц не требует.

Проблем у менеджеров паролей вида «вы нам N денег, а мы вам защищённое облачное хранилище™ и удобное браузерное расширение» вагон и маленькая тележка. Начиная с того, что приходится верить в честное слово и светлые головы разработчиков, созданное которыми хранилище никогда-никогда никто не вскроет. И заканчивая тем, что у самих расширений немало уязвимостей: например, в некоторых попадались баги, позволявшие дистанционно исполнять на машине любой код и воровать пароли.

Поэтому наш вариант (и то, что я всегда имею в виду, произнося «менеджер паролей») — локальные решения с открытым кодом и собственная светлая голова на плечах.

https://habr.com/ru/company/vdsina/blog/564578/