Sachok

Битрикс не удивил

В Битрикс24 и 1С-Битрикс обнаружены уязвимости 7,5 и 7,3 баллов критичности.

Эксплуатация уязвимости может позволить злоумышленнику удаленно выполнить произвольный код, путем отправки HTTP-запроса.

Разработчик советует обновить ПО до версии 24.1100.0.

В качестве компенсирующих мер в канале БДУ ФСТЭК называются:

— ЗАПРЕЩЕННАЯ В РФ РКН ИНФОРМАЦИЯ;
— использование WAF;
— «белый» список IP-адресов;
— использование средств обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.

@cybersachok

Основатель Future Crew Евгений Черешнев покинул компанию сразу после презентации Membrana. Почему же и куда?

https://t.me/bladerunnerblues/355

Негативный Positive

В продуктах Positive Technologies обнаружили критическую уязвимость 9,5 баллов.

Уязвимость компонента PT MC в системах контроля защищенности MaxPatrol связана с неправильной аутентификацией.

Эксплуатация уязвимости позволяет злоумышленникам удаленно повысить свои привилегии.

Positive Technologies дала рекомендации по нивелированию последствий.

Если коротко — обновляться придется по полной.

«Пользователям продуктов MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, MaxPatrol Carbon и MaxPatrol O2 рекомендуется обновить MPX до версии 27.2.14850 или выше. Пользователи сертифицированных версий могут получить пакет обновления по запросу в службу технической поддержки.
Пользователям продуктов PT MultiScanner и PT Sandbox рекомендуется обновить продукты до версии 5.18.1.101838.
В продуктах PT NAD, PT ISIM и PT AF3 уязвимость актуальна только при настроенной интеграции с PT MC. Для решения проблемы пользователям этих продуктов рекомендуется обновить компонент PT MC до версии 101.4.8813 и выше», — говорится на сайте вендора.

@cybersachok

Вендор «Базис» отчитался о проведенном совместно с ИСП РАН тестировании уязвимостей в компонентах с открытым кодом для виртуализации. Сообщают, что процедура проходила на мощностях испытательной лаборатории «Фобос-НТ» с привлечением студентов из МГТУ им. Н.Э. Баумана и Чувашского государственного университета.

Что примечательного? Open-source элементы используются в инструментах виртуализации по всему миру, в том числе в продуктах компании и всех решений виртуализации в России. Это обуславливает необходимость тщательного тестирования для обнаружения возможных проблем и, в особенности, уязвимостей и угроз утечек.
Исследователи изучили следующие «открытые» компоненты:

- nginx,
- ActiveMQ Artemis,
- Apache Directory,
- libvirt-exporter,
- QEMU.

Nginx, в частности, используется для балансировки нагрузки в виртуальных средах, и качество этих сред влияет на многие российские и зарубежные решения для работы с ними.

Libvirt-exporter предоставляет API для управления виртуальными машинами, и потому этой библиотеке уделяется особое внимание, так как её сбой может повредить инфраструктуру и привести к утечке конфиденциальных данных.

Каковы результаты? В ходе статического анализа обнаружено 178 дефектов, большинство из которых связано с популярным брокером сообщений ActiveMQ Artemis и сервером каталогов Apache Directory. Изучив ошибки, специалисты ИСП РАН и «Базис» подготовили 86 исправлений для продуктов компании. Помимо этого, фаззинг-тестирование обнаружило еще 13 дефектов в коде, включая 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Вывод же из этого следующий – элементы открытого кода в разработке это, конечно, неплохо. Но также не стоит при выборе решений забывать о потенциальных рисках и угрозах, способных прийти с этой стороны.

Не помню, что такая практика была в ходу в отрасли, но было бы неплохо и другим разработчикам виртуализации подобное перенять.

@cybersachok

«Преодоление трудного начинается с лёгкого, осуществление великого начинается с малого, ибо в мире трудное образуется из лёгкого, а великое — из малого», —Лао Цзы.

Китайская лаборатория выпустила на днях конкурента o1. Как тренировали свои модели китайцы — не ясно. Очевидно, что такого кластера как у OpenAI у них не было. При этом качество ответов как будто не уступает западным моделям. А преимущество китайского релиза в том, что все бесплатно и без ЗАПРЕЩЕННАЯ В РФ ИНФОРМАЦИЯ.

Попросили китайского конкурента ChatGPT дать советы с точки зрения трех философских концепций Китая по отношению к проблемам российской кибербез-отрасли, чтобы быть безмятежными и мудрыми.

@cybersachok

К вопросу об анонсе продукта от МТС Membrana, вызвавшем шквал публикаций в телеграм-каналах с посылами в тональности «наглая корпорация, наплевавшая на Роскомнадзор, законодательство РФ и всех всех всех», хочется сместить фокус на постправду, кликбейт и хайп.

Пример любителей играть в постправду — известное отраслевое СМИ, принадлежавшее в давние времена РБК —CNews, которое часто формирует мнение читателей с помощью своих игривых заголовков. Содержание статьи после заголовка, в котором закодирован субъективный посыл редакции или автора, для тех, кто не любит тратить время на чтение длинных текстов — уже не имеет значения.

Вторит сегодня CNews ряду телеграм-каналов, которые в традиции эпохи постправды публикуют искаженные, урезанные факты в постах, обильно снабженных субъективным трактовками авторов или людей, стоящих за ними.

В частности, посыл заголовка CNews, разлетевшегося по чатам и каналам, уже в обратную сторону разгоняя нарратив, формируемый, называющими себя тенхоблогерами людьми, явно считывается как «Какая нахальсва! Какая вопиющая нахальства! Он еще вспоминает Бога!
(цитата из сериала «Жизнь и приключения Мишки Япончика(однажды в Одессе)».

Мы как простые люди не стали рисоваться умением создавать кликбейтные заголовки и обратились за комментарием к МТС:

«Продукт, который вызвал шквал публикаций в СМИ, соответствует всем требованиям законодательства РФ и не помогает в обходе блокировок сервисов, нарушающих российское законодательство. Membrana скрывает российский IP адрес для того, чтобы можно было получить доступ к зарубежным приложениям и сервисам, запретившим доступ для российских пользователей. Что касается безлимитного доступа к YouTube — информация устарела, так как тариф разрабатывался до введения ограничений. В нынешней версии продукта такая опция не предусмотрена.», — представитель МТС.

Завершить хочется словами из произведения современного поэта L’One «Постправда»:

«Ради контента я понюхаю и васаби
Верь всему, что написано в моём телеграмме
Эти новости, кстати, мы придумали сами
Что такое сделать, чтоб обратили внимание
Сделаю себе в прямом эфире обрезание
Позову на стрим девок, буду бить ногами
Люди, задонатьте лям, я отвезу маму в Маями
Нет конца, нет края, антихрист танцует вальс
Ты хочешь что-то сказать, мы тусой закроем пасть»

@cybersachok

Российские ИБ-компании продолжают нас радовать отчетами о своей деятельности и обнаруженных хакерских группировках, вредоносном ПО, инструментах и методах злоумышленников.

В этот раз Innostage поделились фактурой об очередном способе фишинговой атаки, который используется хакерами супротив российского бизнеса и доверчивых как святая простота корпоративных сотрудников.

Говорят, что распространился способ склонить к нехорошему — подключиться к мошенническому терминальному серверу под контролем беспринципных хакеров — через вектор атаки, названный Rouge RDP(обнаружил его центр противодействия киберугрозам Innostage CyberART).

Суть его в пресловутом фишинге с вредоносным файлом с расширением .rdp, которое при запуске дает возможность злоумышленникам удаленного исполнения кода, компрометации учетных данных, краже данных из буфера обмена, доступ к системным и общим дискам, смарт-картам и подключенным устройствам.

В общем, целый букет.

Особенность атаки в использовании доменов ликвидированных компаний, которые в быстром поиске легко находятся и делают письмо более убедительным.

Специалисты Innostage советуют заблокировать получение писем с вложениями формата .rdp и с помощью межсетевого экрана ограничить исходящие .rdp подключения к недоверенным серверам за пределами корпоративной сети.

В общем, береженого бог бережет, а корпорацию —дополнительные меры, предусматривающие, что сотрудники доверчивые, невнимательные, либо откровенно тупые.

@cybersachok

Реакция регуляторов, когда наш продукт наконец-то получил сертификацию ФСТЭК

Сначала появился кибербез, потом уже появилась IT-отрасль. Ну вы че как сегодня на свет появились!

«Фуфелшмертц Пакость Инкорпорейтед»(FPI) — миллион долларов за мемкоин

Российский зумер ради шутки «открыл» мемкоин, выставил его на криптобиржу и начал рекламировать его в стримах на Твиче и Тиктоке.

После появления на бирже капитализации мемкоина FPI составила $110 тысяч. Люди начали массово скупать монеты по приколу.

Дальше мемкоин расфорсился еще больше и преодолел объем торгов в миллион долларов.

Создатель прямо сейчас мог бы нажать кнопку «продать» и сделать состояние, но он продолжает разгонять хайп вокруг своего мемкоина, чтобы не рушить надежду покупателей.

@cybersachok

С багхантерами надо дружить. Одними из первых это поняли в Т-банке, сделав кэшбэк 50% для них при оплате продуктов в супермаркетах в течении года картой Black Bug Hunter.

Таким образом Т-банк сказал миру, что касты существуют даже в цифровом мире. И одна из них — это багхантеры.

Ждем скидочную карту от «Азбуки Вкуса» для ИБ-специалистов в целом.

@cybersachok

Ого! В этом году мы в рейтинге ИБ-каналов Алексея Комарова на 35 месте. Если разгруппировать их на тематики(OSINT, хакерская тематика, смесь технологических новостей и всего прочего), то и вовсе оказались бы в 10 или 5 лучших.

3 года назад нас в этом авторитетном рейтинге ИБ-каналов не было вообще, а в прошлом году впервые попали в его подборку вне рейтинга.

@cybersachok

Я, слетав на три дня в Азию, два из которых потрачено на перелет, возвращаюсь 3 января в офис

А Позитив Технолоджис взяли мой адрес для доставки подарка, а подарок не прислали😂😂😂 Наверное затерялся в масштабах корпорации.

Зато теперь у них есть мой адрес. Мне не жалко!

Будем!

P.S. Санта, неужели я был плохим мальчиком в этом году?

Innostage, спасибо за чак-чак💔

Дорогие читатели!

Мы в этом году взяли курс на деанонимизацию, еще до реестра РКН, в который наш канал уже включен. Хорошо это или плохо — покажет время.

Те микро и макровызовы, с которыми нам пришлось столкнуться после первого выхода в оффлайн — отдельная история.

Но все это мелочи по сравнению с тряской, которую в 2024 году стойко вынесла кибербез отрасль в России.

Вам хватало сил и на защиту и на инновации. С одной стороны защищали бизнес от хакерских атак, с другой стороны успевали быстро адаптироваться к новым требованиям, контексту, вызовам и попутно выкатывать отечественные решения на рынок.

В общем, вдохновляли нас по полной!

Слово года 2024, по нашему мнению — адаптивность.

Тем, кто уходит на каникулы, хорошо провести время, тем, кто в SOC 24/7, минимум внешней активности.

Будьте как чилл гай в 2025, нордические, стоические и спокойные несмотря ни на что. Потому что все мы всего лишь маленькие частички с раздутым на свой круг общения эго, в сущности не влияющие на ход жизни, которая будет продолжаться вне зависимости от того, есть мы или нет.

@cybersachok

Анастасии Садковскую кто-то называет русской Адель, кто-то сравнивает с Аллой Пугачевой, особенно после исполнения Настей ее песни «Мимоходом» на шоу голос или пронзительных хитов в LAB Антона Беляева.

Мы ее не сравниваем ни с кем. Настя уникальная, у нее сильный голос и КАК же она чувствует песни, которые исполняет. Она определенно открытие года в мире российской музыкальной сцены.

2024 год мимоходом обидел кибербез-отрасль по-своему: где-то новыми требованиями, где-то хакерскими атаками, где-то несбывшимися ожиданиями и планами.

Но, надеемся, что 2025 будет для всех лучше, легче и благосклоннее.

Специально для подписчиков канала «Sachok» Настя записала небольшое музыкальное поздравление.

@cybersachok

Посмотрел новую серию «Баек безопасности» про итоги года. Думал услышать очередную критику в адрес моего канала и голосования, но в итоге зацепила меня тема, которую поднял Максим Хараск из Innostage — токсичность в ИБ-комьюнити.

Макс сказал, что публичная токсичность сменилась на публичные партнерства. И связано это, по его словам, с утечками данных и изменением отношения к инцидентам компаний, которые поняли, что сами могут стать жертвой атаки, а значит смеяться лучше последним (или вовсе не смеяться).

Отчасти согласен. Но не без нюансов.

То, что публичная токсичность сменилась на публичные партнерства — это как раз о том, что публично все в белых пальто и «дружат» со всеми.

Но что сейчас происходит под ковром, по рассказам некоторых знакомых — это сущий ад.

Как-то незаметно ИБ-тусовка приобрела качества московской светско-политической тусовки. Сплетни, пересуды, моментами подлые мелочные подставы — все это есть.

Я, как владелец канала, которому за последние месяцы пытались слить информацию на конкурентов, считая, что я готов размещать что-то и бросить себя в жернова конкурентной борьбы российских ИБ-компаний, принеся себя в жертву богу капитализма, могу уверенно сказать, что токсичность растет.

И то ли еще будет.

А недавнее голосование, где RED Security накрутили голоса для дискредитации только небольшое подтверждение тому, какая «нетоксичная» атмосфера в ИБ отрасли сейчас царит.

Сожрать готовы любого, как только почувствуют, что Аккела промахнулся.

Можете, конечно, не согласиться. Это абсолютно ваше право.

Но я по-прежнему задаюсь вопросом: кто сделал российское ИБ-комьюнити таким? Явно не один единственный тренд на слияния и поглощения.

@cybersachok

Куда дует ветер в 2025?

Тренды 2025 года от журналиста «Известий»

Привет, сегодня с вами Антон Белый, журналист «Известий», техноблогер и большой любитель гаджетов. Специально для канала Sachok я описал свое видение пяти ключевых IT-трендов, которые будут влиять на жизнь россиян в 2025-м году.

Искусственный интеллект в массы

Не секрет, что ключевым аспектом прогресса человечества последние несколько лет выступает искусственный интеллект. В 2025 году различия между классическим ИИ и генеративным ИИ станут более заметными, а также будут появляться целые нейросетевые инфраструктуры, которые включают в себя комплексные системы с нейросетевыми алгоритмами.

Пожалуй, одним из ключевых трендов станет ИИ в потребительской сфере — в виде различных мультиагентных систем, которые получат дальнейшее развитие. Таких, как умные ИИ-ассистенты Алиса, Маруся и др. Эти системы будут развиваться, агенты будут становиться «умнее» т.е. решать все более сложные задачи, взаимодействие агентов будет все более слаженным и бесшовным. Это будет делать сервисы более полезными для людей.

Отечественная робототехника

Сфера робототехники получит развитие по меньшей мере на двух направлениях. Во-первых, в стране начнется импортозамещение роботов на производствах и специальностей, не требующих комплексных навыков. В РФ уже созданы складские роботы, специализирующиеся на сложных процессах — например, на поиске нужных лекарств. Есть «железные» кладовщики для складов и дарксторов, роботы для прачечных и даже робота БРЧ-1 для участия в боевых действиях, разработанного усилиями НПП «Герань».

Помимо очевидного импортозамещения, продолжится тренд на соревнования роботов среди учащихся ИТ-вузов. Детей продолжат обучать теоретической робототехнике с возможностью использовать прикладные навыки на турнирах, включая всероссийские соревнования типа «Игры будущего».

Интеграция технологий в медицину

Медтех станет плотнее интегрирован с другими трендами — робототехникой и ИИ. Уже сейчас в российских университетах ИИ обучают ассистированию врачам-психологам и другим специальностям. Кроме того, появляются новые рабочие места: например, медик с квалификацией 3Д-моделиста. Это человек, который работает в смежных специальностях — медицине и трехмерном моделировании.

В 2024 году был случай, когда подобный специалист помог восстановить после боевого ранения половину лица, создав ее модель на компьютере и затем отправив на «3Д-печать» на специализированном принтере физических объектов. Фактическую копию лица изготовили с использованием костной ткани, пересаженной с берцовой кости на титан. Логично прогнозировать дальнейшее развитие подобной печати, в том числе искусственных органов, для которых используются элементы донорских ресурсов, как в случае с костницей.

Также медицинские технологии могут развиваться с помощью новых платформ, для которых задействованы современные алгоритмы ИИ и обширные массивы накопленных данных в области здравоохранения.

Импортозамещение: телеком и автоматизация бизнес-задач в авангарде

Российские компании в 2025 году сохранят курс на создание отечественного программного обеспечения на замену тем решениям, которые отказались от ИТ-рынка в РФ. Приоритетной тенденцией станет сфера телекоммуникации — она испытывает потребность для корпоративных решений, которые предложили бы отечественные ВКС-функции (видеоконференции) наподобие Zoom, но с надежными российскими протоколами шифрования.

Также будет производиться импортозамещение программных сервисов для автоматизации корпоративных задач и функций. Будут создаваться CRM-решения и модули, которые позволят «слезть с иглы» западных аналогов. По прогнозам количество импортозамещенного ПО российским бизнесом вырастет почти вдвое в следующем году — с 45% до 75%, как отмечают исследователи рынка.

@cybersachok

Хотим поздравить редакцию канала Sachok с наступающим. Включите песню Show must go on группы Queen 💔

https://rutube.ru/video/7070c29c6921f5244df91015e67b1284/

У соседей предновогодний концерт по заявкам. Спасибо, коллеги!

ИТОГИ ГОДА 2024 — ЧАСТЬ 2

Самая активная в ИБ-исследованиях компания

1. BI.ZONE

2. Лаборатория Касперского

3. Positive Technologies

Деньги в безопасности: самый кибербезопасный банк по мнению читателей

1. Сбер

2. Т-Банк

3. ВТБ

Вклад в киберликбез населения

1. Ростех

2. МТС

3. Минцифры

@cybersachok

❗️ООН одобрила конвенцию против киберпреступности, разработанную по инициативе России.

Из важного, как пишет Олег Шакиров «закрепляется цифровой суверенитет государств над информационным пространством», что отменяет возможность правоохранителей одной страны проводить свои действия в сетях другой без разрешения на это.

По нынешним временам, это победа российского МИД.

@cybersachok

Итоги года 2024: вклад в киберликбез

Тратить деньги на проекты, которые повышают осведомленность людей в вопросах кибербеза и интернет-гигиены на первый взгляд не выгодно. Напрямую в прибыль такое не конвертируется. Зато может сэкономить деньги в будущем.

Номинанты за вклад в киберликбез населения:

1. VK

2. Авито

3. Т-Банк

4. Сбер

5. Минцифры

6. Яндекс

7. МТС

8. Ростех

9. Wildberries

10. Ozon

@cybersachok

Yandex Cloud выпустил новогодний выпуск подкаста «Безопасно говоря»

В новом эпизоде эксперты обсудили самые знаковые события в ИБ, попробовали предугадать, что нас ждёт в 2025, прошлись по исследованиям и прогнозам, а также не обошли вниманием тему развития искусственного интеллекта.

Смотрите подкаст на YouTube, и VK Видео, а также слушайте в Яндекс Музыке

Итоги года 2024: деньги в безопасности

Банки по-прежнему остаются одной из самых привлекательных целей для хакеров.

Они про кибербезопасность и необходимость полноценной защиты узнали одними из первых.

Предлагаем вам выбрать банк, к которому у вас больше всего доверия с точки зрения информационной безопасности и отдать за него свой голос.

1. Сбер

2. Т-Банк

3. ВТБ

4. ГазпромБанк

5. Альфа-Банк

6. Райффайзенбанк

7. Совкомбанк

8. Промсвязьбанк

9. Россельхозбанк

10. Точка

@cybersachok

Итоги года 2024: самая активная в ИБ-исследованиях компания

В этом году ряд российских компаний перманентно сотрясали сообщество своими исследованиями. Некоторые из перечисленных ниже компаний по ощущениям как будто не отдыхали.

Какие-то компании встречались с казусами, когда за их исследования Apple благодарила их на словах, но не выплачивала вознаграждение за обнаруженные баги, ссылаясь на внутреннюю политику.

Общее для них помимо сказанного одно — они не могут договориться о едином названии хакерских группировок. А еще все заслуживают уважения за свой вклад в исследовательскую деятельность.

1. Лаборатория Касперского

2. BI.ZONE

3. Positive Technologies

4. Солар

5. F.A.C.C.T

@cybersachok

Куда дует ветер в 2025?

На очереди прогнозы от журналистов деловых СМИ. Своим мнением о трендах в ИБ-отрасли поделился ведущий телеканала РБК и, по нашему мнению, в 2025 году самый популярный модератор дискуссий, Аркадий Глушенков.

Не знаем, как вам, а мы, как ценители символизма, считали в малиновом пиджаке Аркадия сигнал на 2025. Но Аркадий сказал, что тайного смысла в нем нет.

В общем, лучше слушайте сами и думайте.

@cybersachok

Что ж, вечер вторника, когда Москва окончательно закупоривается в предновогодних пробках, закованная кольцами машинно-людского потока, идеальное время, чтобы объявить итоги ежегодного, ГЛАВНОГО для простого русского работяги индустрии кибербезопасности после Американских выборов, а потому и сканадального, голосования «ИТОГИ ГОДА ИБ 2024».

Знаем, вы голосовали сердцем и с такой же теплотой и любовью отдавали свой голос за компанию конкурента, как делали бы глоток прохладного с мягким вулканическим вкусом Боржоми с похмелья после новогоднего корпоратива.

ИТОГИ ГОДА 2024 — ЧАСТЬ 1

Компания года

1. Positive Technologies
2. Солар
3. Информзащита.

Bug bounty 2024: выбор редакции

1. VK
2. Яндекс
3. Т-Банк

Мероприятие года

1. Offzone
2. Positive Hack Days
3. SOC Forum

Лучший SOC 2024

1. BI.ZONE
2. Innostage
3. Солар

Компания Red Security, которой накрутили голоса конкуренты попросила нас снять ее с голосования.

Вклад в маркетинг/PR в ИБ

По мнению редакции, все девушки (Григорий Ковшов из газинформсервиса в силу половой принадлежности отдельно) достойны уважения и справедливой оценки, так как работают в суровом русском кибербезе, где каждый день проверяет на прочность.

@cybersachok

Куда дует ветер в 2025?

Следующий прогноз на 2025 год дал Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского».

С учетом текущих тенденций, технологий и геополитических факторов для отрасли ИБ в РФ можно выделить следующие основные прогнозы:
 
1. Увеличение количества кибератак и их сложности. Повсеместная цифровая трансформация увеличит зависимость от ИТ новых отраслей. В итоге следует ожидать увеличение количества атак и серьезности их последствий на критическую инфраструктуру и промышленные предприятия, финансовый сектор, государственные информационные системы. Возрастет количество целевых атак и как метода ведения кибервойн, и как инструмента хактивизма и кибертерроризма.

2. Импортозамещение приведет к расширению поверхности атаки, так как на смену зрелым решениям придут новые разработки, исследованиями безопасности которых системно не занимались, но в условиях роста целевых кампаний интерес к их эксплуатации будет расти. Вместе с тем можно ожидать развитие уровня предложения на рынке отечественного ПО, и, возможно, государственную поддержку отечественных производителей.

3. Усиление государственного регулирования отрасли. Обеспечение промышленной безопасности глубоко цифровизированных ключевых предприятий – вопрос национальной безопасности, поэтому государственные и отраслевые регуляторы продолжат ужесточать и требования, и ответственность исполнителей. Косвенно это отразится на поставщиках услуг, что приведет к слияниям и поглощениям на рынке MSSP.

4. Рост использования машинного обучения и искусственного интеллекта как для целей обнаружения атак и обработки данных TI, так и в качестве инструмента атакующих для автоматизации поиска векторов компрометации и обхода контролей безопасности, сбора и обработки данных рекогносцировки.

5. Киберустойчивость – ключевой приоритет. 2025 год будет переломным в переосмыслении подходов к построению корпоративной безопасности. Наряду с классическими превентивными подходами, больше внимания будет уделяться концепции «Assume vulnerable» или построению архитектур, где затруднено развитие атаки и киберустойчивости (cyber resilience) с фокусом на быстрое восстановление после инцидента.

6. Мошенничество и социальная инженерия с подключением ИИ и дипфейков достигнут новых высот, что отразится и на корпоративной безопасности, так как влияние на ключевых лиц отражается на работе компании. Корпорации продолжат инвестировать в повышение осведомленности работников, а различия между мошенническими схемами на частных лиц и на лиц, принимающих управленческие решения в корпорациях, будет постепенно размываться.

@cybersachok

Куда дует ветер в 2025?

Попросили ИБ-экспертов, журналистов деловых СМИ и людей из кибербеза рассказать, какие тренды, по их мнению, будут сильно выделяться, влиять на отрасль и задавать направление корабля кибербеза.

Первое мнение от Дениса Батранкова из ИКС Холдинга.

За последние два года мы пережили множество внешних событий: от желания отключить Россию от интернета до огромного потока DDoS атак на все информационные ресурсы и компании. Преступные группировки, спонсируемые различными государствами поменяли свою цель. И теперь не просто занимаются разведывательными операциями, а еще и занялись уничтожением инфраструктур крупных компаний. Мы в России серьезно реформировали отрасль информационной безопасности за эти два года. А что же дальше?

Ключевые тенденции в отрасли кибербезопасности:

1. Пересмотр стратегий и поиск топ-менеджмента
Среди основных трендов выделяется активный поиск нового руководства для компаний-разработчиков и переоценка стратегий развития. Часто игнорируемый аспект на всех уровнях компаний — это value proposition. Сегодня на рынке представлено множество игроков, внутри которых отсутствует четкое понимание специфики разработки продуктов в области безопасности. Важно осознавать, что даже при жестком управлении нельзя за одну ночь создать NGFW или написать 15 000 сигнатур для IPS.

2. Усиление государственного регулирования
Требования регуляторов становятся жестче. Государство обязует компании усиленно защищать данные. Закон об оборотных штрафах, который вступает в силу в мае 2025 года, подталкивает бизнес к активному использованию таких решений, как Database Firewall, DLP и DCAP. В ближайшем будущем спрос на CASB-решения также возрастет.

3. Контроль за сторонними библиотеками
Риск атак через цепочки поставок остается высоким, что привлекает особое внимание регуляторов. Усиленный контроль за использованием сторонних библиотек становится важным элементом обеспечения безопасности.

4. Развитие качества сигнатур IPS
На зарубежных рынках этот процесс был сложным и долгим, пока не появились наборы качественных сигнатур, каждая из которых точно срабатывает на конкретную атаку. Внедрение подобных технологий требует наличия сильной команды экспертов, пентестеров и аналитиков.

5. Отсутствие рынка защиты электронной почты
Электронная почта остается наиболее уязвимым каналом, однако рынок решений для защиты от атак через email, таких как Security Email Gateway, практически не развит. Уверен, что эксперты вскоре начнут активно развивать это направление, и проблемы с фишингом будут решены.
6. Эволюция защиты веб-ресурсов
Уровень защиты сайтов продолжит расти. Сегодняшние атаки успешно блокируются DDoS-защитой и WAF, однако развитие технологий приведет к появлению более продвинутых решений.

7. Выявление злоумышленников в сети
Растет спрос на продукты, позволяющие быстрее обнаруживать злоумышленников в корпоративных сетях. Такие решения, как NTA, NDR, XDR и Deception, приобретают все большую популярность. Их развитие требует глубоких компетенций в области искусственного интеллекта и обработки больших данных.

8. Рост инструментов мониторинга инфраструктуры
Помимо кибербезопасности, наблюдается рост рынка инструментов для мониторинга и контроля IT-инфраструктуры, что также заслуживает внимания.

@cybersachok

Про пейджеры…

Детали самой громкой операции спецслужб этого года, заставившей задаться многих людей, решающих что-то на нашем зелено-голубом шарике или же на отдельных кусочках суши посреди океана, философским вопросом: «а что, если и у меня рванет?», наконец-то раскрыты.

Как и полагается, якобы два бывших высокопоставленных сотрудника «Моссад» раскрыли американской CBS News, как получилось взорвать пейджеры представителей «Хезболлах».

К задаче, если верим, что есть бывшие сотрудники «Моссад», рассказывающие CBS детали проведенных операций, подошли всесторонне:

1) С 2022 года Израильские спецслужбы разрабатывали модель пейджера, которая вмещала бы достаточное количество взрывчатки.

2) Не обошлось и без современных медиа-платформ, которые в гибридных войнах и операциях используются часто: чтобы «Хезболлах» купили специальные пейджеры by «Моссад», была запущена реклама на YouTube, а в интернете закупили армию ботов для написания поддельных отзывов покупателей.

3) Через подставные компании израильская разведка организовала лицензионное партнерство с тайваньской компанией Gold Apollo и запустила полный цикл производства пейджеров.

4) Через подставные же фирмы «Моссад» продал «Хезболлах» 16 000 начиненных взрывчаткой средств связи.

И никаких хакерских атак, как оказалось, не было.

@cybersachok

CISA выпустило предписание для федеральных агентств и ведомств США в обязательном порядке внедрить методы безопасной работы с облачными сервисами.

Ни для кого не секрет, что публичные облака давно используются злоумышленниками для проведения кибератак и доставки вредоносных программ. Например, в марте этого года более половины всех вредоносов были доставлены через облачные сервисы. Поэтому озабоченность CISA весьма к месту.

Интересно что американский бизнес демонстрирует определенное разочарование в отношении облаков, поскольку обещания провайдеров несколько разошлись с реальностью, в основном это касается неизменности цены, которая год от года растет.

@cybersachok

Человеческий фактор остается главным уязвимым местом в любой системе. 

А раз так, могут ли известные из библейских мотивов 7 грехов быть сопоставимы с 7 точками входа для хакеров в цифровой эпохе?

Похоть, алчность, чревоугодие, гнев, зависть, гордыня и лень — грехи, которые можно считать и кибергрехами?

7 векторов атак? 

Разбирались в этом киберисповедники на подкасте «Смени пароль!»

Состав спикеров — сладость для ушей: главный эксперт ЛК Сергей Голованов и управляющий директор и глава экспертного центра Positive Technologies Алексей Новиков. 

Послушать эпизод «Семь грехов кибербеза» можно на всех платформах.

Мероприятие года в ИБ 2024

Нетворкинг — по-русски блат и связи, у многих начинался с ИБ-конференций и форумов, где сейлы нежно ласкали слух будущих заказчиков, специалисты разных профилей показывали кто на что горазд, а регионалы приезжали, чтобы потом поехать в боулинг с Элеонорой Аполлоновной и напиться.

Сегодня мероприятия выросли в уровне, масштабе, качестве организации и стоимости. Хотя, многие истинные мотивы у участников никак не изменились.

Список номинантов:

1. Positive Hack Days

2. Offzone

3. SOC Tech

4. SOC FORUM

5. VK Security Confab

6. Kaspersky Industrial Cybersecurity Conference

7. UnderConf

8. РусКрипто

9. Сохранить все: защита данных

10. ТБФОРУМ

@cybersachok

Две плохие новости сегодня утром.

1. Мой родной город Казань атаковали БПЛА. К счастью, из людей никто не пострадал, Рустам Минниханов оперативно принял все меры по безопасности, как губернатор Республики. Видеть кадры, как город, где прошло мое студенчество, бомбят дронами, больно.

2. Через 20 минут после начала голосования на лучший SOC кто-то за короткое время налил на вариант с Red Security более 5 000 голосов. И все прекрасно понимают, что в Red Security таких топорных идиотов нет.

До начала накрутки компания набрала 70 голосов. И, уверен, смогла бы набрать больше, войдя честно в тройку лидеров как минимум.

И, хотя, голосование на лучший SOC по злому умыслу или ради шутки дискредитировано, для Red Security, я бы сказал, можно сделать два вывода:

- кто-то намеренно вывел вас в начале голосования из игры, потому что решил, что без таких мер вы победите.

- читайте комментарии и смотрите, кто намеренно раздувает негатив против вас, очевидно, на 100% понимая, что за накруткой стоите не вы.

И точно не нужно оправдываться.

@cybersachok

На Рождественской вечеринке МТС и Ozon обнаружены гадалки

Пацан сказал — пацан не сделал

Компания Cohesity провела исследование, в ходе которого было опрошено более двух тысяч респондентов из разных стран. Большая его часть посвящена рекламе, но нашлось место и интересным цифрам по теме шифровальщиков.

В 2024 году 83% опрошенных столкнулись с атаками программ-вымогателей. Какой процент атак был успешным в исследовании не указано, но целых 69% респондентов согласились заплатить выкуп.

При этом целые 77% признались, что придерживались политики «не платить» до того, как запахло жареным произошел инцидент.

Почему платят? Потому что человеку свойственно надеяться на лучший исход. И атакующие активно эксплуатируют эту тему.

Не «мы вас пошифровали», а «провели анализ защищенности и приняли меры, чтобы вы точно нам заблатили».

Не «гони бабки или обанкротишься», а «заплатите за нашу работу и мы все исправим, даже уязвимости вам подсветим».

Просто заплатите и все снова станет хорошо, а может быть даже лучше.

Будем надеяться что исследователи в 2025 дадут статистику, сколько из заплативших выкуп были пошифрованы повторно.

@cybersachok

Кого там опять взломали под конец года?

Полмиллиарда записей о россиянах в утечках

Исследователи из Центра противодействия кибеугрозам Innostage SOC CyberART решили подбить итоги года по утечкам. Результаты довольно интересные:

1) Половина выявленных инцидентов содержит не более сотни записей, что указывает на взлом предприятий малого бизнеса.

Это те самые компании, которые никому не интересны, трогать их не будут и вообще хакеры ломают только крупняк. Что с лицом?

2) Среди основных причин взлома хранилищ данных наравне с кражей информации с целью перепродажи или вымогательства, эксперты называют хактивизм.

Хактивисты оказались обучаемыми, и за три года научились как минимум от DDoS-атак до поиска публичных PoC-ов. Вчера дефейсили, сегодня уже эксфильтруют и вайпят.

3) Чтобы добраться до ценной информации, хакеры зачастую предпринимают сотни и тысячи попыток, особенно если в качестве мишени выбрали хорошо защищенную компанию.

Тут еще раз возвращаемся к мотивации — хактивисты жрать зарплату не просят, упорны и мотивированы.

Сама компания Innostage на пике фиксировала 120-130 тысяч атак в неделю. Понятно что какой-то процент из них автоматизированные боты, но цифра немаленькая. Учитывая что несколько ИБ-вендоров за этот год по итогу пробили, ребят можно только поздравить.

Вчера они получили сертификат о завершении открытых кибериспытаний, но продолжат программу и дальше.

Ну и с юбилеем, Innostage в этом году уже закрыл свою первую пятилетку. Алга!

@cybersachok

Как заказчик выбирает NGFW

Вслед за маэстро Лукацким открыли комментарии в канале.

Шифровальщики поборолись за ЗОЖ

В канале «Кибервойна» вышел интересный пост о банкротстве Stoli Group (признана экстремистской организацией и запрещена в России). Эта компания, в частности, владеет брендами водки Stolichnaya и Moskovskaya. В качестве одной из причин руководство указывает на атаку с использованием программы-вымогателя.

С одной стороны — спорить с этим заявлением трудно, поскольку компания была зашифрована и наверняка понесла весомый ущерб. хакеры уже банкротили целые криптобиржи, что уж тут какой-то вино-водочный ларек гигант.

С другой стороны, все чаще хакерские атаки становятся универсальным объяснением для любых событий. Причем не важно, были ли эти атаки вообще.

У бизнеса долги перед инвесторами больше чем капитализация компании? Виноваты хакеры.

Конкурент победил на выборах? Виноваты хакеры.

Публичное лицо опубликовало сомнительный текст, который поднял общественный резонанс? Виноваты хакеры.

В сети появилось видео, где чиновник пригласил на ковер девушку с низкой социальной ответственностью? Это дипфейк, а значит тоже хакеры.

Такими темпами APT-группировки начнут воровать лампочки в подъездах, а операторы шифровальщиков в этих же подъездах гадить. А почему нет?

@cybersachok

$1,5 ярда — маржа для хакеров с крипты

Такими цифрами поделились исследователи Immunefi в своем отчете «Crypto losses november 2024».

Вот несколько самых интересных цифр:

1) Объем краж год от года снижается. По сравнению с прошлым годом на весомые 15%, тогда киберпреступники получили примерно 1,7 миллиарда.

2) Хакеры опаснее мошенников. За ноябрь из-за взломов были потеряны 71 миллион долларов (24 инцидента), в то время как мошенники смогли заработать всего 25 тысяч (два инцидента).

3) Пиковым месяцем года стал май, когда злоумышленникам удалось похитить сразу 360 миллионов долларов.

Сами Immunefi (а это еще и багбаунти-платформа для крипто-проектов) предлагают выплаты до 10 миллионов за уязвимость. Так что багхантерам, которые еще не начали вкатываться в web3, есть о чем подумать.

@cybersachok

Идет поиск… Обнаружен короткий путь к офферу Сбера 🕵️‍♂️

7 декабря приглашаем на One Day Offer для AI RedTeam – команды Департамента Кибербезопасности Сбера, которая занимается оценкой и защитой моделей генеративного искусственного интеллекта.

Мы работаем с флагманскими продуктами и генеративными моделями (LLM, VLM, MMLM), обеспечивая их безопасную разработку и эксплуатацию, а также исследуем уязвимости GenAI моделей и новые виды атак.

Чем предстоит заниматься?
✅ Обеспечивать безопасность GenAI-продуктов, используемых миллионами пользователей
✅ Анализировать новые инциденты, методы атак и защиты GenAI-моделей и приложений
✅ Разрабатывать и внедрять PoC для проверки защищенности GenAI-моделей и приложений
✅ Тестировать и оценивать защищенность GenAI-моделей и приложений
✅ Выполнять подготовку заключений и рекомендаций по повышению защищенности GenAI-моделей и приложений.

Регистрируйтесь и присоединяйтесь к молодой кросс-функциональной команде 😎

На 2025 год запланирован запуск PaaS- и SaaS-сервисов на базе «Облака КИИ»

Решения виртуализации «Базис» стали основой «Облака КИИ» – первого на российском рынке защищенного облака, построенного на отечественных решениях и способного размещать объекты КИИ. Продукты подтвердили совместимость с другими компонентами импортозамещенного облака: сетевым оборудованием, серверами и СХД, а также системным ПО, в том числе российскими ОС.

Сегодня на базе облака уже можно реализовать IaaS-сервисы — например, разместить в нем системы геолокации и мониторинга, управления складом и логистики, а также медицинские, банковские и другие ИС.

Безопасность «Облака КИИ» подтверждена аттестатом соответствия требованиям приказа ФСТЭК №239, что позволяет размещать объекты КИИ до 2 категории значимости включительно и обеспечивает защищенное подключение пользователей.

@cybersachok

Рубрика «Письма читателей».

Нет, это не так, потому что канал никогда не принадлежал Илье Сачкову или Group-IB.

Соотвествующий миф в отрасли распространился, вероятно, в связи с ассоциациями, которые вызывает название канала, созвучное фамилии основателя Group-IB.

Об этом мы говорили на одном из выступлений в оффлайне.

Ни Касперским, ни Позитивам, ни Солару, ни Сачкову, ни серым кардиналам отрасли мы не принадлежим.

Только России и ее народу.

Мы — национальное достояние, по мнению редакции канала.

Вирусы в поломанных doc-файлах, которые не видят антивирусы

Сумеречный гений фишинговых рассылок породил новую схему, как обойти защитные решения. Компания Any.Run обнаружила новую фишинговую кампанию, в рамках которой атакующие рассылают битые Word-файлы от лица сотрудников компании. В качестве триггера используются кадровые и зарплатные вопросы.

Механизм атаки достаточно прост — антивирусы не распознают зловредное содержимое в намеренно испорченных файлах. При этом, Word радушно предлагает пользователю восстановить файл уже на устройстве. Выглядит это следующим образом.

По заверению исследователей Any.Run, такое письмо обходит не только антивирусное ПО, но и спам-фильтры старого-доброго Outlook, в следствие чего может проскочить мимо некоторых sandbox. Интересно что проверка через VirusTotal принесла нулевой результат: ни одно из 62 решений не восприняло такой файл как вредоносный.

Все больше свидетельств говорят о том, что использовать только антивирус для личной кибербезопасности уже мало. В идеале нужно уметь пользоваться и песочницей, вроде той же any.run, а также мониторить свои данные в утечках, либо платить за этот сервис компаниям.

@cybersachok

Как защитить API от угроз?// Как защитить API и сэкономить миллионы?

13 декабря в 11.00 приглашаем на бесплатный вебинар СберТеха «Атаки на API в 2024 году: примеры и способы защиты».

Вы узнаете:
• API как цель и универсальный вектор кибератаки
• Почему WAF не решает задачу безопасности API.
• Какие атаки на API произошли в 2024 году: анатомия взлома, аналитика и последствия.
• Как надежно защитить API и решить задачу безопасной интеграции систем (на примере решения Platform V SOWA).

Вебинар будет полезен CIO, CISO, архитекторам кибербезопасности, корпоративным архитекторам и ИТ-архитекторам.

Регистрация по ссылке!

50 000 долларов за удачный промпт

В сети существует проект под названием Freysa AI. Это нейросеть, настройки которой строго запрещают ей переводить деньги. Но любой пользователь может за определенную сумму попробовать подобрать правильный промпт и обойти ограничения. При этом чем выше банк — тем выше цена попытки.

На днях в запрещенной соцсети рассказали о том, что пользователю удалось забрать джекпот и выманить у Freysa почти пятьдесят тысяч долларов. Победный промпт можно посмотреть на скрине, за его отправку пользователь заплатил немногим меньше пяти сотен баксов.

Кто в этой истории выиграл? Конечно же казино разработчик, потому что 30% от всех потраченных пользователями денег идут ему.

Похожие проекты уже можно встретить в русскоязычном сегменте Телеграма, вполне возможно, что работают предприимчивые скаммерсанты. Не играйте в карты с шулерами.

@cybersachok

На днях Starbucks столкнулась с последствиями кибератаки на своего подрядчика. В результате системы управления расписанием работы оказались недоступны, а без них не ясно, сколько платить работягам.

Сама история по последствиям не критичная и Старбакс вряд ли потеряет больше, чем от ухода из России, но интересно другое. Крупнейшая сеть кофеен оказалась в интересном положении из-за классической атаки сопли supply chain.

Атаки на цепочку поставок еще в прошлом году попали в топ-3 векторов по данным НКЦКИ. При этом, уже по данным компании «Инфосистемы Джет», менее 10% организаций проводят мероприятия по оценке уровня ИБ своих поставщиков и подрядчиков.

В этом году, уже по данным исследования Cyble, атаки supply-chain происходят как минимум раз в два дня.

Защищаться от этого вектора в основном рекомендуют разными вариациями Zero Trust. Так что не за горами тот день, когда СБшникам, которые занимаются проверкой контрагентов, придется на регулярной основе выяснять, когда там у подрядчика последний раз был пентест, сколько в компании аппсеков и что о безопасности этой компании думает уволившийся месяц назад CISO.

@cybersachok

Сегодня мне исполняется 26!

Кто хочет прислать в подарок бутылку виски, присылайте не дерьмовый, не разбавленный, не отравленный и не заговоренный на приворот.

Всех обнял💔

Я, когда мне говорят, как хорошо нам будет в 2025 году с полным импортозамещением

@cybersachok

Уже есть список номинаций, которые мы утвердили для голосования:

1. Слово года в ИБ

2. Тренд года в российском ИБ

3. Мероприятие года

4. Лучший кибербез канал

5. Вклад в маркетинг/PR (для директоров по маркетингу и PR и не только директоров)

6. Компания номер 1

7. Самый рабочий NGFW

8. На первой линии(номинация для SOC-центра)

9. Лучший Баг Баунти

10. Наше любимое мероприятие

Всего запланировано 13 номинаций.

Ждем предложения по дополнительным номинациям в бот.

В прошлом году мы проводили голосование по итогам года в ИБ в Telegram.

Голосование вышло шумным, скандальным и вызвало много споров, а также атаку ботов на нас.

Алексей Лукацкий наше голосование критиковал, а Secator выступил с адекватной позицией в защиту, заявив, что ботов в опросе крутили не мы.

Проводим «Итоги года» в этом году в другом формате?

Приглашаем на конференцию «Сетевая безопасность»! 🛡

Мероприятие будет полностью посвящено отечественным средствам защиты информации сетевой инфраструктуры. Не пропустите шанс присоединиться к лидерам отрасли и обсудить важные вопросы!

Основные темы конференции:
- Способы измерения производительности и функциональности средств сетевой безопасности и Anti-DDoS
- Требования к межсетевым экранам нового поколения (NGFW)
- Защита web-приложений и электронной почты, WAF и SEG
- NTA, NDR, UEBA — поведенческие и статистические системы защиты на основе анализа трафика
- VPN-шлюзы и проблемы инспекции SSL/TLS трафика
- Песочницы, Deception, Honeypot
- Обеспечение безопасности удаленного доступа
- Использование криптографии в обеспечении сетевой безопасности

Зарегистрироваться

Подробности:
- Место: Москва, «Холидей Инн Сокольники»
- Дата: 9 декабря 2024 года
- Условия участия: Для представителей органов государственной власти, финансовых организаций, компаний ТЭК, промышленности, транспорта и ритейла участие бесплатное при обязательной регистрации на сайте.

Едем в Магадан?

Пока все ИБ-сообщество готовится к новогодним корпоративам, Государственная Дума активно трудится. Ко второму чтению одобрен законопроект, вводящий уголовную ответственность за создание или обеспечение работы сайтов, страниц сайтов и программ, предназначенных для незаконного оборота персональных данных.

Он вводит ряд поправок, в частности, в статью 272.1 УК РФ. С полным набором депутатских новелл можно ознакомиться тут.

Казалось бы, что могло пойти не так? 3аконопроект N 502113-8 в текущей редакции в принципе не предусматривает добросовестного использования баз данных, их обработки, передачи и т.д.

Кто же занимается этим легитимным, добросовестным использованием слитых БД? Внезапно — почти весь рынок ИБ.

Например, утечки изучаются с целью поиска утекших паролей и своевременного предупреждения пользователей. Мониторингом утечек для бизнеса занимаются самые разные отделы — TI, SOC, в рамках услуг brand protection.

Без изучения утечек банально нельзя их верифицировать — реальные ли это данные или очередная компиляция.

Получается ситуация, когда 99 % атакующих на этот закон наплевать, поскольку действие УК РФ не распространяется на днепропетровские колл-центры.

При этом этичный исследователь рискует поехать на четыре года цифрового детокса, если только за ним не стоит штат юристов, как у крупных ИБ-вендоров.

Комьюнити по этому поводу уже справедливо возмутилось. Насколько это повлияет на законопроект — скоро узнаем.

Ситуация по духу и смыслу напоминает историю с парсингом данных. Там ГД тоже ударно поработала перед Новым Годом, а к концу января парсинг уже запретили. Помог ли закон в борьбе с парсерами из-за рубежа — статистика умалчивает.

@cybersachok

Хоп, хей, слив Graykey!

На днях журналистам из 404 Media некие добрые люди передали интересные таблички, содержащие в себе подробное описание Graykey. Полюбоваться их содержимым можно тут и тут.

Graykey — это продукт компании Grayshift, предназначенный для получения доступа к смартфонам. Его широко используют следственные органы разных стран. Проще говоря — шайтан-коробочка, которая потрошит смартфоны, включая iPhone, Samsung и даже наши любимые Xaomi. Посмотреть как она выглядит можно в официальном промо-ролике.

Достоверность данных подтвердили сразу несколько независимых источников. Ценность самих данных, при этом, не очень велика — некоторую часть информации из табличек можно буквально найти на официальном лендинге Grayshift и в их промо-материалах.

Некоторые издания делают сенсацию из того, что этот инструмент не может взламывать Айфоны под ОС 18 и 18.1. Но это и не удивительно, ведь появилась обновленная ОС только в сентябре, и в Grayshift просто еще не успели купить под нее эксплойт подобрать соответствующую открывашку.

История интересна не столько слитой информацией, сколько ее источником. Кто и при каких обстоятельствах слил 404 Media информацию о возможностях Graykey мы не знаем. Но интуитивно хочется поставить на инсайдера внутри компании.

Кстати, российских мобильных ОС в списке мы не заметили, чем не аргумент для потенциального экспорта в загнивающие капстраны?

@cybersachok

Приняли в реестр РКН

Через 10 дней вступают в силу новые правила, по которым VPN нельзя будет упоминать. Эта информация будет считаться запрещенной в РФ.

Мы уже готовимся к вступлению в силу нового законодательства и заменили в текстах и постах на всякий случай абреввиатуру из трех букв на ЗАПРЕЩЕННАЯ В РФ ИНФОРМАЦИЯ.

Как это будет выглядеть — на скриншоте.

Живем по понятиям правового поля. И вы живите по понятиям тоже!

В Америке ожидают откат инициатив по кибербезу

Не так давно мы говорили о политизации сферы информационной безопасности. И вот, в США назревает интересный кейс, связанный с приходом к власти нового президента.

За последние четыре года в Штатах было много инициатив, направленных на разные аспекты кибербеза. Это и регуляторика внедрения ИИ, и судебные разбирательства с вендорами спайваре-софта (привет, NSO Group), и много чего еще. Можно отметить успехи американских спецслужб в борьбе с шифровальщиками — даже за последний год мы видели несколько громких кейсов, включая LockBit.

Американские медиа переживают, что администрация Трампа пустит все эти усилия по ветру. Тревожные звоночки и правда есть. Например, инициатива сенатора Рэнда Пола по упразднению или весомому ограничению полномочий CISA.

И в США, и в мире, и в России, немало людей сочли это признаком грядущей деградации американских ИБ-программ. На самом деле это не так.

Важно помнить, что именно во время президентства Трампа CISA и появилась. Основные претензии со стороны республиканцев связаны с тем, что агентство активно ввязалось в цензурирование юэсэй-нета, включая и выборы.

Поэтому не стоит ожидать, что новая администрация президента выбросит CISA на свалку истории. Скорее всего, деятельность агентства будет:

1) В большей степени направлена на защиту критической инфраструктуры, а не на работу с повесткой в стране.

2) Подвержена контролю со стороны Сената. С одной стороны — меньше самостоятельности, с другой — меньше распыления.

Наивно полагать, что отдельным сенаторам-популистам дадут развалить важное в современных реалиях агентство. Еще более наивно думать, что государство позволит бизнесу диктовать условия и выбивать поблажки в сфере ИБ там, где это напрямую касается широких масс населения.

@cybersachok

Сноуден записал весь бигтех в оборотни

На днях наш соотечественник Эдвард Сноуден выступил хедлайнером на конференции NEAR [REDACTED] в Бангкоке. Был бодр, улыбался, ел орешки кешью.

Сама конференция посвящена AI и блокчейн-технологиям, но выступление Эда посвящено как раз вопросам приватности в условиях быстро развивающихся технологий.

Доклад получился довольно философским, есть несколько интересных тейков:

1) Цифровой суверенитет возможен только при существовании собственных систем и моделей. Речь о тех-самых независимых и прозрачных блокчейн-системах, web 3.0. Но и на контекст цифрового суверенитета государств тоже хорошо ложится, чем не популяризация импортозамещения?

2) Бигтех наплевал на приватность и активно использует все доступные данные для обучения нейросетей, алгоритмов и других продуктов. Проще говоря — монетизирует своих пользователей по максимуму, в ущерб их правам и интересам. Трудно поспорить.

3) Все нейросети из всего многообразия делают нечто усредненное, с небольшим n-процентом оригинальности.

4) В мире господствует усредненный показатель, который выгоден бизнесу и государству. Это убивает идентичность.

В конце Сноуден призвал всех развивать критическое мышление и заниматься саморефлексией.

Можем порадоваться за пентестеров, которые специализируются на взломе AI/ML, их будущее в этом контексте выглядит светлее некуда.

@cybersachok

VK анонсировали свою конференцию по информационной безопасности VK Security Confab Max. Пройдет она в самый жаркий месяц года — 11 декабря.

Судя по анонсу, на мероприятии в приоритет поставили 5 основных направлений: SOC, AppSec, безопасность пользователей, облаков и инфраструктуры.

Помимо технических докладов обещают закатить афтепати.

Сейчас еще есть время для подачи заявок экспертов (до 29 ноября), желающих выступить со своим спичем на конференции.

Ну а если 11 декабря вы суперзагружены, то можно будет посмотреть конференцию в онлайн-трансляции.

@cybersachok

Бонни и Клайд: хакерская версия

В недалеком 2022 году в любовное гнездо россиянина Ильи Лихтенштейна и американки Хизер Морган ворвались копы с обвинениями в грабеже дилижансов взломе биржи Bitfinex и кражу 120 тысяч биткоинов.

И, кажется, у этой истории будет счастливый конец. Илья уже получил от американского суда пять лет. Изначально хакеру грозило 20 лет за факт кражи и еще 5 за мошенничество. С учетом примерного поведения и уже проведенного в заключении времени — у него есть все шансы скоро оказаться на свободе.

Хизер Морган, вероятнее всего, получит еще меньше. Решение суда должно быть принято как раз сегодня, 18 ноября.

Когда в 22 году американские силовики смогли вернуть чуть более 90 тысяч биткоинов с счетов парочки, Минюст назвал это крупнейшей конфискацией в истории.

Немного цифр: на момент кражи это был "скромный" 71 миллион долларов. На момент изъятия Минюстом — уже 4,5 миллиарда, а на сегодняшний день и вовсе крышесносные 11 миллиардов долларов. Ставь лайк если в 2012 потратил 200 биткоинов на покупку скина в игрушке или пиццу.

Не только мы следим за приключениями гангстерской парочки — желание снять о них сериал изъявил НТВ Netflix. А Forbes планирует выпустить документальный фильм.

Остается только один вопрос: если 90 тысяч биткоинов удалось вернуть, то кто приделал ноги оставшимся 30 тысячам?!

@cybersachok

Как сделать работу в контейнерных средах безопасной?

Узнайте на бесплатном вебинаре «Защита контейнерных сред с помощью Policy Engine и Service Mesh» от СберТеха.

Обсудим риски работы в контейнерных средах и вклад Policy Engine и Service Mesh в обеспечение безопасности кластеров Kubernetes (на примере open source решений и линейки российских продуктов Platform V Synapse от СберТеха).

Разберем темы:

• Контейнерные среды в рантайме: защита на уровне реестра, оркестратора и контейнеров.
• Policy Engine и его роль в управлении политиками безопасности и конфигурациями.
• Знакомство с Kubelatte и возможностями по мутации, валидации и генерации объектов Kubernetes.
• Service Mesh для безопасности трафика, включая шифрование, контроль конфигураций приложений и кластеров, мониторинг состояния кластеров.
• Преимущества решений Platform V Synapse по сравнению с open source.

Спикер: Максим Чудновский, главный руководитель направления Platform V Synapse, СберТех.

Вебинар пройдет 19 ноября в 11:00.

Регистрируйтесь по ссылке!

Про нацию хакеров

В одном из своих выступлений Юрий Максимов сказал что россияне — это «нация хакеров». И действительно, даже за последние годы мы научились, например, находить способы купить игры на PlayStation и другой заграничный софт, проводить платежи без SWIFTa и много чего еще.

Но тут один индус попросил подержать его пиво.

Парень из страны специй и дешевых разработчиков приобрел для своей бабули AirPods Pro 2 в качестве слухового аппарата. Но быстро выяснилось, что этот функционал в его регионе недоступен. Почему недоступен, кстати, вообще не понятно.

Наш герой оказался не так прост и включил то самое хакерское мышление. После того, как смена IP-адреса не помогла, он засунул iPad вместе с платой ESP32 в микроволновку.

Плата отправляла запросы через сотню SSID-адресов в Калифорнии, а СВЧ-печь выполняла функцию клетки Фарадея и глушилки для Wi-Fi.

После четырех часов такой «прожарки» iPad убедился, что находится в США. Затем к нему подключили AirPods Pro 2 и наконец активировали режим слухового аппарата.

Какая тут мораль? Чем больше в киберпространстве ограничений, тем больше людей научатся их обходить.

@cybersachok

Рейтинг защищенности от ФСТЭК: кого ждет «черная метка»?

Федеральная служба по техническому и экспортному контролю планирует вести рейтинг объектов критической информационной инфраструктуры по уровню информационной безопасности.

По словам замдиректора ФСТЭК Виталия Лютикова, рейтинг будет составляться на основе коэффициента, который присваивается компаниям по результатам государственного контроля или данных о компьютерных инцидентах.

Служба планирует автоматизировать этот процесс и предоставить руководителям возможность видеть свою текущую оценку в реальном времени.

Примечательно, что ФСТЭК уже провела тестовый анализ ста объектов КИИ, из которых девяносто попали в красную зону. По итогу им было направлено аж 170 рекомендаций по исправлению.

Правда, никакой ответственности для организаций, которые продемонстрируют низкий уровень защищенности, не предусмотрено. Получается что «черную метку» уже придумали, но последствия для объектов КИИ она пока что не несет.

Ключевое тут — пока что.

@cybersachok

Как Россия борется с киберпреступностью по мнению ИИ

Тарификация ЖКХ уязвимостей

Минцифры рассматривает введение «государственных трафив» за найденные в рамках багбаунти уязвимости — такой информацией на прошлой неделе поделился Александр Шойтов, заместитель министра Минцифры.

Вопрос пока что находится на стадии очень раннего обсуждения, но уже можно предположить, что основная аудитория тарифов — это федеральные и региональные ГИСы, которые за последний год идут на багбаунти достаточно активно.

Сейчас вполне можно найти региональную программу, где за critical-уязвимость полагается выплата в 30-50 тысяч рублей. При наличии общих тарифов владельцам багбаунти-программ, по идее, будет проще обосновать бОльший бюджет перед своими финансовыми отделами. Но это при условии, что тарифы будут соответствовать рынку.

В теории, тарификация багбаунти может быть полезна и для бизнеса. Многие компании не запускают полноценные багбаунти-программы, но взаимодействуют с исследователями безопасности. В таком случае у них появится наглядный ориентир по минимальным выплатам — сократится количество случаев, когда за найденную багу исследователю будут предлагать ветку бонусы.

Есть и обратная сторона — не совсем порядочные багхантеры могут преподносить этот стандарт как обязательный, и пытаться требовать баунти с рандомных компаний, набив пачку уязвимостей сканером.

Тема сложная, рисков много, поэтому будем с интересом наблюдать за развитием событий.

@cybersachok

🔥 Это всё меняет!

Positive Technologies 20 ноября запустит PT NGFW. Станьте частью этого масштабного события!

🤟 Два года компания разрабатывала высокопроизводительный и надежный межсетевой экран нового поколения.

Команда прислушивалась к мнению клиентов и партнеров, открыто рассказывала про внутреннюю кухню разработки. Смело бралась за сложные инженерные задачи, уделяла внимание не только коду, но и аппаратной платформе.

В результате они создали совершенное устройство, которое запустят 20 ноября!

👀 На онлайн-запуске вы сможете окунуться в историю создания продукта, узнать, как он защищает от киберугроз, результаты тестирования и завершенных проектов, а также планы на будущее.

Регистрируйтесь на онлайн-запуск заранее в Telegram-боте.

Будем ждать каждого! 🤩

Среди тонны дискуссий о том, как изменить мир ИБ к лучшему на SOC Forum, удалось найти интересную пленарную дискуссию «Хакнуть будущее: кибербезопасность как конкурентное преимущество».

Внимание мое особенно привлекли некоторые тезисы Дмитрия из желтого банка и Ивана Вассунова из RED Security, который говорил именно в контексте рынка и трендов для него.

- В 2024 году количество кибератак выросло в 1,5-2 раза по сравнению с прошлым годом. Именно поэтому кибербезопасность перестала быть просто опцией, теперь это УТП для компаний.

- В стартапах на самых ранних этапах можно забить болт на ИБ, но как только попрет — сразу бежать за ИБ-сервисами, чтоб самим не заморачиваться.

- Атаки через подрядчиков увеличились на 50%, а целенаправленные атаки — на 60%, поэтому пентестим контрагентов до посинения.

- Не просто инструменты, а результат. Пора переходить от предложения отдельных сервисов и продуктов к комплексным решениям, которые дают реальную ценность заказчикам.

Лично мне показалось, что в Иване Вассунове есть много той энергии, которая позволяет людям менять тренды в отрасли и задавать направление корабля.

Эта энергия называется трезвым умом и здравым смыслом, чего сейчас многим не хватает.

Пищи для размышления после этой дискуссии осталось много. Советую посмотреть запись с SOC Forum, когда она появится.

@cybersachok

В комментарии журналистке я говорил, что мы планируем регистрировать канал. Эту фразу в текст окончательного варианта статьи не вставили. Еще вопросы?

https://t.me/notlukatsky/1702

Подали заявление на регистрацию канала в РКН, так как живем по понятиям правового поля РФ. Ставим на 3 дня в закреп. Надеемся на понимание🙏

Прими участие в «Хакатоне по кибериммунной разработке 3.0» от «Лаборатории Касперского» с призовым фондом 1 000 000 рублей!

Регистрация на хакатон открыта до 15 ноября

Приглашаем разработчиков, аналитиков, архитекторов ПО, экспертов по информационной безопасности и студентов программирования и кибербезопасности. Участвуй индивидуально или в команде до 5 человек.

Тебе предстоит разработать систему удалённого управления автомобилем для каршеринга, устойчивую к кибератакам. Специальных знаний в автомобильной отрасли не требуется — задача будет понятна всем, независимо от опыта.

Это твой шанс прокачать навыки в кибербезопасности и пообщаться с экспертами «Лаборатории Касперского».

Ключевые даты:
• 15 октября – 15 ноября – регистрация участников
• 8 ноября – митап с экспертами и игра «Огнеборец»
• 15 ноября – старт хакатона
• 17 ноября – дедлайн загрузки решений
• 22 ноября – подведение итогов и объявление победителей

Регистрируйся, прояви себя и внеси вклад в безопасность каршеринговых сервисов

Кампания EmeraldWhale: 15 000 краденных учетных данных на левом хранилище

Исследователи из Sysdig опубликовали историю о том, как на их ханипот прилетел интересный вызов. В результате изучения они обнаружили общедоступное хранилище S3 с джентельменским набором из вредоносных программ и более чем терабайта информации, самая чувствительная из которой — более 15 000 учетных данных от частных репозиториев.

По словам экспертов, для сбора информации злоумышленники использовали автоматизированные инструменты, которые сканировали диапазоны IP-адресов в поисках доступных конфигурационных файлов Git, где могли содержаться аутентификационные токены.

Найденные таким способом токены использовались для выгрузки репозиториев с GitHub, GitLab и BitBucket, а затем злоумышленники искали в них дополнительные учетные данные.

Простор для дальнейшей монетизации у EmeraldWhale достаточно широкий: от прямой продажи учетных данных, до проведения фишинговых кампаний и спам-атак.

Часто ли подобные факапы случаются с киберпреступника? И да, и нет. Как правило, это дело случая — причиной поимки киберпреступника, даже опытного, может стать банально "отвалившийся" VPN.

Бывают и действительно анекдотические истории. Например, с пользователями стилеров, которые запускают ВПО на своих домашних машинах и их данные улетают в базу стилера.

А нам остается только наблюдать и верить, что после каждого лайка на этом посте очередной black hat зашифрует свой ПК вместо жертвы.

Дали комментарий по поводу нового реестра для блогов с более, чем 10 000 подписчиков для московского новостного портала MSK1.ru

За последние два года в России и мире сформировалась новая реальность: компании до смехотворности запугивают хакерами. Конечно, иногда эти страшилки становятся реальностью, но забавно наблюдать, как какой-нибудь менеджер по продажам убеждает клиента купить очередной сканер под страхом взлома, когда у самого пароль от личной почты qwerty и отсутствует 2FA.

Из топа страшилок: атака на цепочки поставок по типу SolarWinds, эхо которой до сих пор доносится до слуха ИБ-сообщества и руководства компаний.

Или вот еще: хакеры взломают систему дистанционного управления системами, например, системой очистки воды в каком-то городе и отравят все население, повысив дистанционно уровень химического вещества.

Ну и самая популярная страшная сказка для взрослых: хакеры зашифруют все данные в вашей компании и будут требовать выкуп за дешифровку, а весь ваш многочисленный документооборот перейдет в бумагу, откатив вас на 30 лет назад.

Сегодня вышел хеллоуинский подкаст, где ИБ-спецы, как я понял, высмеивают этот мейнстримный тренд на запугивание бизнеса и навязывание порою чрезмерных мер безопасности под видом необходимых.

Разговор получился нетривиальный, местами смешной и на удивление открытый и честный.

Самое то, чтобы посмотреть, пока в Москве льют ноябрьские дожди.

@cybersachok

Первая линия SOC после очередной смены и бокала джина

Шифровальщики: новые игроки и старые партнерки

Компания Secureworks подготовила отчет с интересными цифрами о программах-вымогателях и группировках, которые их используют.

Ransomware-сферу пополнили аж 31 новая группировка, прирост к прошлому году составил 30%. При этом исследователи отмечают, что количество группировок не коррелирует с количеством атак шифровальщиков. Для сравнения, средний рост атак шифровальщиков по миру составляет около 8% по сравнению с 2023 годом.

Почему так? А все просто — основную движуху делают партнерки, работающие по RaaS-модели. Так на долю RansomHub приходится около 8% от всех атак.

LockBit же в этом году заметно подустал — представители этой группировки (на самом деле пользователи партнерки) поучаствовали в 17% атак. В прошлом году они же были причастны к каждому четвертому инциденту с применением шифровальщика. Вероятно, все дело в проведенной против них операции «Cronos» с захватом серверов и криптокошельков.

Развитие партнерских программ порождает непредсказуемость — никакой группировки, фактически, нет, есть группа людей, которые используют одну платформу, но разные подходы.

От себя хочется добавить тревожный тренд на удешевление и упрощение работы с шифровальщиками. Уже в ближайшие годы ransomware дотянется буквально до любого бизнеса, процессы которого зависимы от цифры.

Ну а через X лет начнут шифровать умные микроволновки с требованием перевести 5 баксов. С чего, собственно, программы-вымогатели (на тот момент — локеры) и начинались в старые добрые времена.

@cybersachok

Розыгрыш проходок* на закрытую тусовку багхантеров

22 ноября BI.ZONE Bug Bounty проведет закрытую церемонию награждения BUGS ZONE 3.0, где соберется комьюнити лучших исследователей. В московском лофте наградят самых активных багхантеров и подведут итоги ивента. Конечно же, будут еда, напитки и доклады от спикеров. А для самых стойких — афтепати.

Вы тоже можете попасть на тусовку с крутейшими багхантерами, приняв участие в розыгрыше проходок.

Условия простые:

1. Подпишитесь на канал BI.ZONE Bug Bounty.
2. Напишите свой ник на платформе BI.ZONE Bug Bounty в комментариях под этим постом. Если еще не зарегистрированы — самое время :)

Два победителя будут определены случайным образом 11 ноября. Желаем удачи!

*НДФЛ не облагается в соответствии с законодательством Российской Федерации.
Реклама.

Китайские CTF-еры пугают Запад

Нехватка специалистов по кибербезопасности — это мировой тренд. На днях издание DarkReading решило присмотреться к опыту КНР в части решения этой проблемы. Результат, как говорится, убил.

А что Китай?

Еще в далеком 2014-м году товарищ Си пообещал превратить Китай в "кибер-державу", чем очень напугал всех западных партнеров. Слова не разошлись с делом — за 10 лет Китай построил развитую сеть CTF-соревнований, которая позволяет отсеивать лучшие кадры буквально со старших классов.

Специфика китайского подхода заключается в том, что CTF буквально интегрированы в образовательные программы. Это позволяет реализовывать практикоориентированный подход к обучению. Результат также очевиден — Китай входит в пятерку стран по количеству CTF-команд на CTFtime.

В Поднебесной даже существует аналог канадского Pwn2Own — TianfuCup. Такой формат куда серьезнее любых CTF и киберполигонов.

Автор DarkReading отмечает не только успешность китайского опыта, но и необходимость его использования на Западе.

А что в России?

Согласно данным все того же CTFtime, Россия опережает Китай по количеству CTF-команд и входит в тройку по их количеству. Российские команды, входят в мировой топ, прошлый год команда C4T BuT S4D закончила на втором месте.

Из плюсов можно выделить развитое комьюнити, вовлеченность технических вузов. Некоторые вендоры ИБ, а также АРСИБ, проводят соревнования для школьников и студентов, а также "взрослые" кибербитвы.

Вместе с тем, китайский подход отличается большей системностью и акцентом на интеграции с образовательными программами. Такой подход кажется более выигрышным на длительных дистанциях.

@cybersachok

Хакеры бьют бизнес по почкам почтам

Оно и понятно, ведь на рабочей почте можно найти много всего интересного, от деловой переписки до VPN-конфигов и паролей.

Получить доступ ко всему этому добру киберпреступникам помогают BEC-атаки (business email compromise). Часто под BEC-атаками понимается доставка полезной нагрузки, ссылки или вредоноса, в первом же письме, с целью получить учетную запись или заразить машину получателя. Но не всегда.

Компания Vipre в своем отчете сообщила, что 89% атак BEC, которые она предотвратила, были связаны с выдачей себя за авторитетных лиц. Это значит, что атакующие притворялись легитимными пользователями, возможно — контрагентами, подрядчиками или клиентами.

В общем случае схема выглядит следующим образом: злоумышленник представляется неким лицом, которому жертва регулярно совершает платежи. В копию письма, помимо сотрудника, ставится левая почта его босса, с которой атакующий и требует срочно провести платеж.

И это работает. Например, в августе этого года компания Orion оплатила мошенникам счета на 60 миллионов долларов.

Ну и куда без классики. По данным все того же исследования, вредоносные вложения составили 64% электронных писем за квартал, в то время как только в 36% использовались ссылки.

@cybersachok

И еще пару слов про прошедшую конференцию Kuban CSC.

Помимо того, что краснодарцы смогли провести конференцию на высоком международном уровне, пригласить туда иностранных спикеров и гостей, создать невероятные условие для гостей, упор, конечно же делался на регионы Кавказа и Юга России.

Кавказ для меня — особенное место, так как я там служил. Многие стереотипы, которые есть, например, про округ у москвичей, у меня после службы сразу пропали, потому что я увидел реальную картину: регион очень сложный по культурному, национальному присутствию.

На Kuban CSC присутствовали представители разных регионов СКФО. И они, конечно же, тоже заинтересованы в повышении уровня кибербезопасности в своих республиках.

Пообщался с некоторыми представителями СКФО. Уровень погружения в тему невероятный.

Уехал с ощущением внутреннего спокойствия за кибербез Северного Кавказа.

Когда критикуешь монополистическое поведение на рынке

Итоги CTF на Kuban CSC 2024:

3 место команда CR4.SH

2 место команда ulitsanineteenofivegoda

1 место команда suslo.pas (500 000 призовой фонд).

Краснодарское правительство, Ассоциация цифрового развития Красндорского края и Департамент информатизации сделали по-настоящему мощную международную конференцию.

Не знаю ни одного региона России, который проводил бы у себя ИБ-конференции такого уровня.

Основатель «Хакера» Дмитрий Агарунов часто бывает на ИБ-мероприятиях. И почему-то никогда мне не удавалось с ним познакомиться ни на одном из них.

На конференции в Сочи случайно с ним познакомились. И я под сильным впечатлением.

Человека, настолько свободного от всяческих шаблонов мышления, я не встречал никогда в жизни.

А тут он еще и модерирует некоторые дискуссии. Например, дискуссию о новом законодательстве в сфере ИБ.

Тема для многих болезненная.
Буду делиться тезисами.

Хакеры довели нейросеть до восторга

Исследователи из Palo Alto Networks Unit 42 нашли новую вредоносную методику для взлома больших языковых моделей.

Никаких инструментов и уязвимостей — ломать нейросети можно прямо в диалоговом окне. Очередная уже техника получила название Deceptive Delight, что можно перевести как обманчивый восторг.

Методика во многом схожа с уже известной техникой "побега из тюрьмы" (Crescendo). Основное отличие заключается в тактике внедрения вредоносной нагрузки в промпт.

В этом же исследовании представители Palo Alto привели интересные цифры по галлюцинациям нейросетей: не менее 5,2% для коммерческих моделей и 21,7% для моделей с открытым исходным кодом.

«Эти результаты не следует рассматривать как доказательство того, что ИИ по своей сути небезопасен. Скорее, они подчёркивают необходимость многоуровневых стратегий защиты для снижения рисков взлома при сохранении полезности и гибкости этих моделей» — заявили исследователи.

Жаль, что исследователи не сказали, когда нейросети обретут эту многоуровневую, эшелонированную и комплексную защиту.

@cybersachok

Ну и куда же без казачьего кубанского колорита на Кубани. Удалось проникнуться этой культурой и традициями, когда служил в армии недалеко от казачьих станиц.

Забрал на стенде PT новый Positive Research. Это какая-то смесь Хабра, авторских блогов, но в качественной бумажной форме и с хорошим оформлением, написанная на бизнесовом языке.

Если хотите объяснить важные вещи про кибербез консервативному начальству, советую почитать.

Честно говоря, впервые присутствую на конференци по ИБ, где такое внимание уделяют вопросам международной кибербезопасности.

Хотя, на разные конференции и форумы в последние месяцы меня приглашают часто.

На них, как правило, фокус направлен на технические и бизнесовые вопросы.

Здесь, на Kuban CSC органично сочетают вопросы бизнесовые, технические и глобальные, которые назрели давно.

И слава богу, как говорится.

@cybersachok

В Сочи на Kuban CSC уже съезжаются участники: представители компаний и госструктур

Как инсайдер два месяца гадил в код TikTok'а

Компания ByteDance, которая владеет многими азиатскими проектами, среди которых и TikTok, взяла к себе на стажировку Кейю Тяня. Тот, по пока неизвестным причинам, в течение нескольких месяцев умышленно вносил ошибки в код, что в итоге привело к срыву проекта.

Что и как делал Тянь оставим за скобками и остановимся на другом моменте — крупный бигтех в течение двух месяцев не мог обнаружить внутреннего нарушителя, которого буквально только что наняли на работу.

Проблема с инсайдерами стара как мир. Считается, что и "первым советским хакером" был сотрудник Автоваза, который намеренно вызвал сбой конвейера у своего работодателя, чтобы получить премию за устранение бага.

При этом инструменты для борьбы с внутренними нарушителями есть на рынке не первый год. С развитием нейросетей и ML многие из них заметно прибавили в части поведенческого анализа — выявлении паттернов поведения и аномалий, которые могут быть предвестником инсайдерской деятельности.

А чтобы эти продукты становились лучше — разработчикам UBA-систем нужна обратная связь как от действующих, так и от потенциальных пользователей. По этому поводу ребята из Innostage проводят опрос.

Все снова как мы любим — без СМС и регистрации.

@cybersachok

Мы, когда в первый день отправили стажера из физтеха на первую линию SOC

ИБ-мем стал главной новостью понедельника

В пятницу ребята из DC8800 запостили постироничную картинку. Судя по содержанию, некий школьник начитался мануалов по первой ссылке и почувствовал себя гуру социальной инженерии, переименовав apk-файл с неизвестным нашей редакции содержимым, и снабдил его кликбейтной подписью.

Попытки выдать вредоносный файл за нечто другое стары как мир, при этом сценарии могут быть разные. От zip-архивов с названием "Слив Онлифанс 2024" до вот такого вот примитивного "Фото (9)".

В чем тут новость? А в том, что на дворе был вечер пятницы, интересных новостей по ИБ за выходные не прибавилось, и инфоповод "отработали" как тг-миллионники, так и лидеры мнений.

Вот так вот андеграундный блог на 1000 подписчиков сделал инфоповод федерального масштаба из мема.

@cybersachok

Yandex Cloud запустил сертификацию Security Specialist для тех, кто решает задачи по защите облачных систем

Статус сертифицированного специалиста подтвердит вашу квалификацию и повысит ценность на рынке труда, а подготовка к экзамену поможет систематизировать знания о платформе Yandex Cloud.

Вот какие темы будут на экзамене:

- Основы безопасности в облаке
- Аутентификация и управление доступом
- Сетевая безопасность
- Безопасная конфигурация виртуальной среды
- Шифрование данных и управление ключами
- Сбор, мониторинг и анализ аудитных логов
- Управление уязвимостями
- Защита приложений.

Подготовиться к экзамену помогут бесплатные курсы, вебинары, статьи и другие дополнительные материалы. Все это собрано на сайте программы сертификации. Переходите по ссылке, изучайте примеры вопросов и регистрируйтесь на экзамен. До конца 2024 года стоимость составит 5000 ₽ вместо 10 000 ₽!

Набагхантить на еду: исследователю безопасности заплатили бонусами

В бот прислали скрин из приватки (не делайте так). В одной из программ хантеру насыпали 300 hundred bucks бонусов. С одной стороны, звучит кринжево. С другой — многие сети быстрого питания, торговые сети и т.д. используют свои программы лояльности, бонусы и промокоды в качестве выплат багхантерам.

Что тут можно сказать? Во-первых, не кринжево использовать бонусы получилось только у «Азбуки Вкуса». Тому есть две причины:

1) «Азбука» предлагала выбор — либо X рублями, либо X+Y, но бонусами.

2) В «Азбуке» можно купить все, от дыни-торпеды до элитного коньяка.

Отсюда можно сделать два простых вывода. Багхантерам — не хантить там, где не нравится.

Владельцам программ — не предлагать свои бонусы, если на них нельзя купить пиво и напиться, чтобы забыть где вообще эта бага была и как ее ковырять.

P.S. Наш читатель, за что ему спасибо, уточняет что баг клиентский, на функционал не влияет, поэтому и поощрили бонусами.

Ставь 🗿, если тебя поощряли бонусами, грамотой или бутылкой бренди за крит.

@cybersachok

Давайте будем честны. В мировом кибербезе сейчас есть несколько важных трендов, пока что не оформившихся во что-то полноценное.

Первое — кибербез становится политизированным. Про легальные киберармии в некоторых государствах знают все.

Второе — количество политически мотивированных хакерских атак растет.

Третье — образовался настоящий вакуум в сфере международного регулирования и сотрудничества в сфере кибербезопасности, в частности много вопросов насчет того, что в международном пространстве позволено, а что нет, где мы сотрудничать можем, а где нет.

Ну а самое яркое — протекционизм на рынке кибербеза, который красиво упаковывается как борьба против слежки за гражданами.

Все это в совокупности создает условия для ускорения расширения международного сотрудничества, выработке алгоритмов совместных действий, экспорту российских продуктов, обсуждения законодательных инициатив и импортозамещению.

24 октября в Сочи уже в пятый раз пройдет международная конференция по ИБ «Kuban CSC».

В рамках конференции запланировано 4-е заседание диалога Россия — АСЕАН по международной информационной безопасности.

Конференция пройдет при поддержке ФСБ, СК, Аппарата СБ, МИД РФ, МВД, Генпрокуратуры и Правительства Краснодарского края.

За новостями конференеции можно следить в телеграм-канале.

@cybersachok

КиберЯблоко раздора

Атрибуция APT-группировок все чаще становится темой для политических дискуссий. На этот раз Китай и США не поделили Volt Typhoon.

В феврале этого года представители CISA и других силовых структур Америки сообщили о том, что хакерская группировка провела более пяти лет в критической инфраструктуре страны. И естественно обвинили в этом Китай.

Китайцы же решили подойти к теме творчески. Вместо классической отмазки о том, что это не наше и нам об этом ничего неизвестно, они выступили со встречными обвинениями, дескать Volt Typhoon — проект Госдепа США.

Кто на самом деле за кем стоит — вопрос открытый, о нем весьма фактурно рассказал Олег Шакиров.

По мере того, как киберпространство политизируется, мы будем видеть все больше лучших практик из мира политтехнологий в вопросах кибербезопасности.

А значит будет все меньше кибербеза и больше профанации с целью кого-нибудь в чем-нибудь уличить. А можно было бы конвенцию об ИБ в ООН обсудить.

@cybersachok

SafeCode 2024 Autumn — конференция по безопасности приложений. Это мероприятие для всех, кто хочет писать безопасный код — разработчиков, специалистов SAST/DAST, AppSec-инженеров, security-чемпионов и тестировщиков.

Конференция пройдет 30 октября, онлайн.

В программе более 15 выступлений:
— Доклады о безопасной авторизации, бинарных атаках, процессах DevSecOps, прикладной криптографии, анализе кода, фаззинге и угрозах генеративного ИИ.
— Интервью с экспертом ИБ Денисом Макрушиным, мейнтейнером CPython Никитой Соболевым, экспертом по кибербезопасности из Kaspersky Сергеем Головановым.
— Воркшоп по безопасным контейнерам и мастер-класс по поиску уязвимостей сайта.

Подробности о докладах — на сайте SafeCode.

При покупке билета «Для частных лиц» за свой счет используйте промокод на скидку 15% — SACHOK

Билет на конференцию можно купить за счет компании. Почему это выгодно не только вам, но и работодателю — читайте в статье на VC.

Реклама. ООО «Джуг Ру Груп». ИНН 7801341446

Станет ли разработка безопасной?

Центр стратегических инициатив выпустил большое исследование трендов рынка ИБ с прогнозами аж до 2028 года. Одна цитата показалась особенно интересной:

«Рост зрелости команд разработчиков приложений приводит к активному
вовлечению в методологию непрерывной разработки программного обеспечения аспектов информационной безопасности (DevSecOps), обеспечение защиты приложений. Также оказывает влияние и фактор роста числа атак на веб-приложения – ответственные заказчики, оценивая риски, переориентируются на безопасные приложения.»

Впечатления от него двоякие. С одной стороны, тема SSDLC последние годы обязательно присутствует на всех профильных и ИТ/ИБ-мероприятиях: где-то просто доклад, где-то целый трек. Фреймворки, автоматизация, даже услуги по безопасной разработке.

Вместе с тем, количество ИТ-команд, спасибо Скиллбоксу, растет как на дрожжах, и если одни в безопасность уже более-менее научились, то другие — не совсем. Если вспомнить про мобилки, то там все еще грустнее.

Поэтому на поприще популяризации и повсеместного распространения безопасной разработки есть еще огромный простор для работы. А если вы хотите погрузиться в эту тему или прокачать свои скиллы, то ребята из Innostage подготовили добротный опрос.

Все как мы любим — регистрироваться, авторизироваться и оставлять контакты не нужно.

@cybersachok

Встретили Оксимирона(иноагент) на Большой Никитской. Точнее его конкурента.

Пока курили с приятелем у бара, подошел паренек Женя из Питера и начал фристайлить про кибербез, Касперского, ботнеты и DDoS-атаки.

«Ребята, все по Факту, чтобы было все честно»

Советую крупным корпорациям приглядеться к таланту, а Кибердому позвать к себе.

@cybersachok

Российские белые хакеры, когда их легализовали

Наконец-то лигалайз

Госдума одобрила легализацию белых хакеров. Почти. Пока что законопроект был принят в первом чтении.

Новый нормативный акт дает право любому «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия».

После обнаружения уязвимости исследователь должен уведомить об этом правообладателя в течение 5 дней.

Исключение — если местонахождение правооблаадателя обнаружить не удалось.

@cybersachok

Важные новости от «Лаборатории Касперского» 😎

Открылся новый набор на оплачиваемую стажировку SafeBoard по направлению «Анализ защищенности» — переходи на новый уровень 😎

Присоединяйся, если ты учишься в вузе в Москве/МО или в Школе 21 и сможешь работать от 20 часов в неделю. Начни карьеру в ИБ еще до окончания учебы.

Предложение для тебя, если хочешь научиться:

● исследовать и анализировать киберкриминальные ресурсы и угрозы на основании открытых данных;
● проводить пентесты и выявлять уязвимости;
● анализировать безопасность веб-приложений и сетевой инфраструктуры.

Тебя ждет зарплата, компенсация питания и крутая атмосфера в офисе: спортзал, сауна, игровые комнаты, кофейные паузы и многое другое 😇

❗️Зарегистрироваться можно до 27 октября, но лучше не откладывай и принимай решение сразу

Любите Скарлетт Йоханссон? Хакеры тоже

Mcafee опубликовали 2024 U.S. Celebrity Hacker Hotlist. Это рейтинг звезд, цифровые личности которых онлайн-мошенники используют чаще всего.

Образы западных селеб скамеры используют для рекламы сомнительных инвестиционных проектов, криптовалют и приложений.

В первой пятерке места расположились следующим образом:

1) Скарлетт Йоханссон
2) Кайли Дженнер
3) Тейлор Свифт
4) Аня Тейлор-Джой
5) Том Хэнкс

Что в этом цветнике забыл старина Том не очень ясно. Вероятно, была какая-то таргетированная скам-кампания для американских пенсионерок и фанатов Зеленой Мили.

Ждем от отечественных вендоров аналогичное исследование с Мейби-Бейби, Олегом Газмановым, Джиганом и, внезапно, Александром Домогаровым?

@cybersachok

Согласимся с Олегом Шакировым. Институт репутации, в контексте инцидентов ИБ, вещь достаточно эфемерная.

Но в контексте PR тема гораздо шире. Вспоминается кейс с утечкой исходного кода у одной большой российской компании, которая в массовом сознании запомнилась разве что мемом про самый большой вклад в опенсорс. А потом была препарирована на крупных западных конференциях.

Как точно не нужно действовать или бездействовать после киберинцидента?

На SOC Tech вместе с главой PR «Информзащиты», журналисткой Коммерсанта, руководителем TechPR «Газпромбанка», замом гендира по ИБ Wildberries и независимым экспертом Артемом Калашниковым обсудим антикризисные коммуникации после взлома и утечки данных.

Сказать голую правду, проигнорировать или поиграть в специалиста по публичной риторике?

Универсальный рецепт раскроем 15 октября.

@cybersachok

Изолированы, но не очень

ESET Research выпустили исследование инструментария группировки GoldenJackal. Эти ребята собрали целый комбайн из бэкдоров и тулз, который позволяет доставлять в изолированные системы полезную нагрузку, незаметно красть информацию.

В частности, хакеры использовали вредос GoldenDealer для доставки исполняемых файлов в изолированную систему через USB-мониторинг, бэкдор GoldenHowl и GoldenRobo — сборщик и эксфильтратор файлов.

Конкретики о жертвах немного. Известно о атаке на защищённые системы в посольстве Южной Азии в Беларуси по крайней мере с августа 2019 года. А также о «различных инцидентах» с правительственным организациями стран ЕС в период с мая 2022 по март 2024 года.

В публичном поле термины «изолированная система», «воздушный зазор» и т. д. обычно активно используются как некая панацея — если система недоступна, значит до нее не добраться.

Как показывает практика — добраться можно куда угодно. Не будем всуе поминать Stuxnet.

@cybersachok

«В общем, Евгений, давайте бухнем».

Стас про блокировку приложения Касперского на Android.

Прямо сейчас сотни, а скорее всего тысячи хакеров соревнуются на BRICS+ CTF

BRICS обычно ассоциируется с деньгами, природными ресурсами, высокими кабинетами и громкими заявлениями. Но нашлось место и крутым проектам по ИБ.

В рамках объединения проходят CTF-соревнования, где представители разных стран могут помериться скиллами в решении разных тасков, связанных с кибербезопасностью. Уровень заданий, судя по рейтингам — весьма потный. Тут верим отзыву Mimicate Consulting Group. Отборочный этап уже прошел, рейтинги можно посмотреть тут.

Интересно, что к участию допустили команды не только из стран БРИКС, но и из других, не совсем дружественных стран: настоящий киберспорт вне политики.

Хотелось бы видеть больше подобного контента, например, в рамках Игр Будущего. Фиджитал-игры, конечно, круто, но только поглазеть. А такие соревнования приносят огромную пользую комьюнити и кибербезу в целом.

Финал пройдет 16 ноября в формате Attack/Defense.

@cybersachok

Секс, нейросети и хакеры

На днях 404 Media опубликовали интересную историю о сервисе Muah[.]ai, который можно назвать конструктором ИИ-компаньонов для взрослых.

Неназванный хакер зашел на ресурс чтобы жестко поломать его. Поскольку сам сайт представлял собой несколько смотанных изолентой опенсорс-проектов, похек прошел удачно, и пользователь получил доступ к базам данным запросов пользователей к нейросетке.

По заявлениям хакера, нейросеть активно использовалась для генерации контента, описывающего насилие над несовершеннолетними.

Представители Muah.ai заявили, что все это вранье, а хакера наняли конкуренты по рынку ИИ-компаньонов. Но доказательств, в отличие от взломщика, не предоставили.

Поскольку все запросы на сервисе привязаны к почте, которую пользователь указал при регистрации, стоит ожидать волну шантажа любителей такого рода досуга.

Борьба с проектами, которые распространяют педофильский контент — самое лучшее проявление хакерского активизма. Большое количество андеграундных форумов с подобным содержимым закрылись как раз из-за хакеров.

@cybersachok

Я пришел во ФСТЭК к Лютикову после 1 января 2025 года

Один знакомый с Кубани рассказал мне на днях в баре историю про бренд.

В одной из Кубанских станиц, где влияние имеют казаки, кавказцы и жизнью управляет понятийно-воровской дискурс, местный предприниматель открыл свое кафе.

Кафе это быстро стало популярным из-за по-настоящему вкусной домашней еды: смесь кавказской, русской и украинской кухонь и располагающей для деловых разговоров местных ЛОМов атмосферы под рюмочку водочки и наваристый жирный борщец.

Как полагается, в каждом городе есть свои фрики. В этой станице фриком был местный артист из районного дома культуры, ролевой моделью в поведении и образе для которого, предположительно, был Борис Моисеев или Сергей Зверев.

И вот однажды этот местный артист пришел днем в это поплуряное кафе а-ля станичное место для встреч темщиков, пообедать.

Так как станица маленькая, весть об этом событии мгновенно разлетелась по всем местным чатам, автомастерским и тд.

«Он ел из посуды в этом заведении, сидел за столом в этом заведении».

Одним словом, по местным понятиям, для популярного кафе произошел «зашквар».

Репутация Бренда кафе «Березушка»(название изменено) пострадала. Целевая аудитория, составлявшая основной поток посетителей, в заведение больше не приходила, дабы не примкнуть к чуждой иерархии.

Вывод какой?

Нужно лучше знать свою целевую аудиторию. Возможно, тогда рисков, по-настоящему влияющих на бренд, получится избежать.

@cybersachok

С днем рождения, отец не по семени, а по платформе. С 40-м!