Zero trust минимальными усилиями

Наконец вышло видео с моим кратким выступлением о том, как компании начинать идти к Zero Trust. Выступал еще в апреле на Cyber Sabantui.
Кратко рассказал о том:

- Что в целом это за стратегия?

- Ее внедрение может быть проще, чем вы думаете.

- Аутсорс и SaaS, что и почему разумнее всего отдавать, не нарушая саму модель.

- Что обычно вызывает наибольшее противодействие?

- Какие бюджеты и команда необходимы для старта?

Атака на трейдеров через WinRAR

Иногда для успешной атаки на трейдеров (в том числе крипто) вместо сложных схем используют уязвимости нулевого дня ... в ПО для архивирования. Для специалистов по ИБ ничего удивительного нет, но у нормальных людей вызывает удивление. К слову, сам архиватор уже пропатчили.

Важно: для того, чтобы уязвимость реализовалась, мошенники распространяли ZIP-архивы на торговых площадках. Дальше жертва открывала запакованное изображение, которое запускало вредоносный скрипт, тот обращался к самораспаковываемому архиву, ну и понеслось (подробности тут).

Не то, чтобы совсем новая история, но тут важно, что конкретной целью были трейдеры, арбитражники, да любой участник рынка.

А вывод очень простой — по большому счету, активным участникам крипто-рынка рано или поздно придется менять привычки. Цифровой гигиены уже недостаточно, придется в какой-то степени стать безопасником для самого себя. Отделаться простой установкой антивирусного ПО уже не получится.

Как взломать iPhone — интервью для "Вестей"

Тут татарские "Вести" сделали интересный материал про современную прикладную безопасность, утечки данных и возможности слежки через телефон. Антон поучаствовал.

И вот практически сразу - материал для РИА Новости

"Безопасник должен отлично понимать, что происходит у него в Сети, и знать обо всех возможных угрозах, — подчеркивает Антон Бочкарев. — Если на корпоративную почту пришла рассылка вредоносных писем, важно сразу проверить, кто их открывал, не заражены ли рабочие станции. Если удаленный сотрудник подключился из новой точки, нужно немедленно провести расследование".

Ниже — очень, очень хороший и правильный текст. Первопричина множества успешных атак —именно специфическая "кадровая политика" некоторых компаний и желание сэкономить вот буквально на всем. А потом удивление: ой, как же так вышло, как же так получилось, ничего же не предвещало.

͏Мы хотели было написать очередной новостной пост по следам последнего отчета Security Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?!

Две критичные уязвимости были выявлены и закрыты еще в марте этого года, а в апреле в паблике появился их эксплойт. Между тем, как утверждают Security Joes, в сети доступны более 52 тысяч экземпляров MinIO, из которых только 38% обновлены до неуязвимой версии. В России, кстати, всего наружу торчит около 1800 MinIO, а значит примерно 1100 установок дырявые.

Если админ за полгода (!) не обновил один из ключевых объектов своей инфраструктуры, то нам его совершенно не жаль - он просто мудак. И его начальник, который его держит на должности - мудак. И директор HR, который нанял таких специалистов - мудак. И генеральный директор компании вместе с учредителями, допустившие такую кадровую политику в ущерб информационной безопасности своих данных, - мудаки. Нам их всех ничуть не жаль, они должны страдать.

Пора вводить новый вид атак - атака на цепочку мудаков. Она куда более распространена, чем атаки на цепочку поставок или цепочку зависимостей.

"Так безопасно?" №8: Нужен ли домашний антивирус в 2023 году?

Короткий ответ: Да.

Длинный ответ: да, но есть нюансы. Он не панацея и не первая линия вашей защиты. А вот ваша цифровая гигиена и аккуратность в сети - это как раз она, первая линия. Домашний антивирус — это средство, которое призвано страховать вас от вашей же ошибки. Если вы аккуратны, не качаете различное ПО из сомнительных источников, не скачиваете содержимое фишинговых писем, не переходите по сомнительным ссылкам, то работу антивируса вы и не увидите.

Значит ли это что он бесполезен для вас? Нет. Подушку безопасности вашего автомобиля вы тоже не видите, но, если вдруг увидите в работе, будете рады, что она была.

Нужен ли антивирус поверх "Защитника Windows"? Не обязательно, но есть антивирусы лучше. В последние годы Microsoft вывела свой антивирус в лучшие, но все же он уступает компаниям, которые специализируются на антивирусном ПО. В чем же антивирус от Microsoft уступает?
- Скорость анализа вредоносного ПО и добавления в базы сигнатур ниже.
До сих пор в 2023 году значительную часть работы по анализу вредоносного ПО выполняют люди в ручном режиме. Поэтому, профессиональные команды и процессы антивирусных компаний дают им преимущество.
- Качество обучения поведенческого анализатора оставляет желать лучшего.
Это вопрос опыта и обучения моделей, тут антивирусные вендоры развивают свой успех пару десятков лет.
Сравнить антивирусы можно покопавшись в результатах сканов на Virustotal.

О чем это говорит? Если вам посчастливиться поймать новейший вирус, шанс его обнаружения "Защитником Windows" будет пониже.

Стоит из-за этого покупать платный антивирус? По нашему мнению, нет. Бесплатной версии вполне хватает для домашнего пользователя.

Резюме. Домашний антивирус - ваша страховка, как минимум включите "Защитника Windows", а лучше поставьте бесплатный известный антивирус. Покупать платную версию для домашнего пользователя немного излишне. А вот ставить ломанный антивирус категорически не советуем.

#3side_так_безопасно

Очередная эталонная история про поджигателей

Пишут, что в Петербурге некая женщина после разговора с мошенниками сначала попыталась поджечь военкомат, а потом долго кидала в него камни. Ранее собеседник по телефону рассказал ей, что в военкомате сидит "главный мошенник".

Со своей стороны напоминаем, что в любой непонятной ситуации лучшее, что можно сделать — бросить трубку.

NSO Group снова взломали iPhone

Да, это снова случилось, цепочку уязвимостей называют BLASTPASS. Обновление безопасности уже выпущено Apple, но уязвимости CVE-2023-41064 и CVE-2023-41061, использовались задолго до этого для установки известного шпионского ПО Pegasus. Для взлома действий со стороны жертвы не требуется, это называется 0-click эксплойт.

Авторы атаки — NSO Group, скандально известная компания, поставляющая инструменты для шпионажа государственным и силовым структурам различных стран. Фактически, продающая ПО для шпионажа по подписке. С ними уже были связаны несколько инцидентов с прослушиванием телефонов дипломатов, правозащитников и журналистов, но, видимо, это не повлияло на качество их работы, как и судебные иски. Стоимость используемых ими уязвимостей на черном рынке оценивается в несколько миллионов долларов.
Подробнее об истории NSO Group мы писали тут.

Всем владельцам iPhone немедленно обновить устройства!

Шпионаж и захват секс-игрушек

Удаленное управление секс-игрушками уже давно вошло в моду, и рассказ о взломе подобных устройств – отличный способ хайпануть на конференциях по безопасности. Случается подобное регулярно, иногда игрушки ломают исследователи, уязвимости добросовестно исправляют, и все остаются довольны.

Например, в 2019 так случилось со взломом удаленно управляемых анальных пробок. В нем исследователи показали возможность удаленного управления устройством, шпионажа через него и даже потенциального нанесения вреда владельцу. Этот шикарный доклад можете посмотреть тут.

Но скоро исправление уязвимостей и зрелищный доклад - это идеальный сценарий. Происходит так далеко не всегда. В начале сентября, один анонимный исследователь безопасности IoT устройств, рассказал изданию Techcrunch, об обнаружении двух элементарных, но очень критичных уязвимостей в устройствах «удаленный пояс верности».

Устройства работали через приложение на Android и разглашали кому угодно следующие данные:

- Адрес электронной почты пользователя

- Пароли, в открытом виде

- Домашний адрес пользователя

- IP-адреса пользователя

А в некоторых случаях и онлайн GPS координаты!
Всегда пользователей устройства насчиталось около 10 000.

Исследователь попытался связаться с компанией всеми возможными способами, но ответа не получил, уязвимости оставались неисправленными. Через месяц он решил привлечь внимание компании, совершив взлом и дефейс их основного сайта, благо с его безопасностью дела обстояли еще хуже. В ходе дефейса, исследователь обнаружил, что данные покупок через сайт при использовании PayPal, также доступны всему интернету.

На сайте компании исследователь поместил предупреждение пользователям, о том, что их данные под угрозой. Через 24 часа компания удалила предупреждение и восстановила работу сайта, исправила ли она уязвимости? Конечно нет.

Это далеко не первый случай негативного сценария. В 2021 году неизвестный злоумышленник требовал $750 выкупа в биткойнах, за разблокировку аналогичного устройства другого производителя. К счастью, устройство оказалось заблокировано «впустую», но злоумышленник об этом не знал и написал жертве со словами «Your cock is mine now». Взлом устройства также был возможен исключительно по вине производителя.

В общем, относитесь ответственно к безопасности не только вашего бизнеса, но и ваших устройств. Какими бы они, кхм, ни были)

"Так безопасно?" №9: СМС - хороший второй фактор для двухфакторной аутентификации?

Краткий ответ - нет. Достойная их замена приложения аутентификации или пуш-уведомления.

Объясняем почему.
1. Вашу SIM-карту возможно угнать. Чаще всего подделывают доверенность и перевыпускают в салоне сотовой связи. Реже, идут в сговор с сотрудником салона, но и такое бывало.
Операторы стараются минимизировать подобный риск, но все равно случаи происходят. Буквально несколько дней назад Твиттер аккаунт Виталика Бутерина, создателя Ethereum, был захвачен именно таким образом. В России операторы связи на одни сутки после перевыпуска блокируют:
- прием смс от банков
- прием смс от Госуслуг
- исходящие смс по финансовым сервисам.
Но все остальные смс начинают работать в момент активации SIM-карты.

2. СМС возможно перехватить. Такие случаи также бывали, но это требует уже более технической атаки на уровне протокола SS7 операторов связи. Но если все сделать правильно, смс просто придет на вышку сотовой связи, находящейся под контролем злоумышленников, а не к вам на телефон.

Альтернативы:
1. Пуш-уведомления приложений. Они передаются по защищенному каналу связи через сервера Google/Apple. Они привязаны к конкретной установке конкретного приложения.
2. Приложения аутентификаторы. Они работают оффлайн никуда ничего не передают, просто однократно синхронизируются с сервером и генерируют каждый промежуток времени новый одноразовый и безопасный пароль.

Но, к сожалению, еще далеко не все сервисы позволяют работать без смс, и все равно при захвате SIM-карты возможно сбросить все остальные слои зашиты.

Как минимизировать риски, при использовании СМС как второго фактора?
1. Отследить перевыпуск SIM-карты можно по деактивации вашей SIM-карты. Две одновременно работать не могут. В таком случае с любого другого телефона стоит срочно позвонить оператору и заблокировать новую SIM-карту.

2. Поставить любые уведомления о входе в аккаунты, но не по СМС.

3. Использовать отдельный номер телефона под особенно важные аккаунты. В идеале, оформленный на ближайшего родственника, тогда о нем будет сложнее догадаться даже с помощью "пробива" или утечки.

#3side_так_безопасно

Америка и хакеры

Наткнулись на вот такую историю от наших очень хороших друзей, рекомендуем.

От себя можем добавить, что самым эффективным средством запугивания для многих хакеров были даже не незаметные люди из ЦРУ, а просто ... warrant лист ФБР. Именно угроза стать фактически невыездным останавливала и останавливает многих людей от сотрудничества с государством (любым), если такое сотрудничество может нанести вред Америке.

К слову, под угрозой оказывались не только хакеры, но и классические исследователи, мы даже когда-то писали об этом для РБК Pro, но это немного другая история.

«Радикальные инсайдеры», и где они обитают?

Написали для РБК Pro о новой угрозе для бизнеса, ставшей за последний год очень актуальной — "радикальном инсайде". Суть простая: политически мотивированный (или просто обиженный) сотрудник, часто планируя отъезд, в лучшем случае сливает данные работодателя в сеть, а в худшем — кооперируется с активистами для нанесения максимального ущерба.

Если коротко — простого способа защиты нет, и чтобы эффективно противодействовать радикальному инсайду, должны работать вместе совершенно разные службы. HR, инфобез, да и просто внимательные коллеги — все вмести они могут предотвратить большой ущерб для компании.

P.S. Подписка на РБК Pro платная, но мы с этого ничего не получаем. Благо есть пробная подписка - пользуйтесь!)

Впервые посетили мероприятие не из IT/Security сферы. Но было тем интереснее! В статье небольшой комментарий.

В Москве прошел круглый стол «Безопасность платежного бизнеса и наличного обращения»
Этим событием завершился Международный ПЛАС-Форум «Платежный бизнес и денежное обращение», который проходил 13–14 сентября 2023 года в Москве.
https://plusworld.ru/articles/57026/

#ПЛАСФорум #Платежныйбизнес

Эксперт по кибербезопасности, сооснователь компании «Третья сторона», Антон Бочкарев в своем докладе на ПЛАС-Форуме в Москве, в рамках круглого стола «Безопасность платежного бизнеса и наличного обращения» говорил о перспективах в сфере цифровой защищенности. Подробнее об этом читайте в статье на нашем портале.

#ПЛАСФорум #Платежныйбизнес

Рассказываем, как идут дела

Мы тут много пишем про очень разное в ИБ, а хотелось бы рассказать пару слов про то, как у нас вообще идут дела. А то у нас тут вообще-то бизнес.

Самое главное — все в порядке, полет нормальный. Могло быть лучше, могло быть сильно хуже. Когда мы начинали работу, то прекрасно осознавали, что ИБ — сфера ультра-консервативная, особенно когда модель твоей работы для рынка становится совершенно непривычной. Но клиенты есть, выручка есть, работы — вагон. И мы очень рады, что многие из тех, кто с нами работал, возвращаются к нам снова. Retention прямо-таки хороший.

Есть два больших проекта, которые в перспективе могут стать отличным лидогенератором. Тут все зависит только от нас. Мы рады, что философия 3side зацепила многих людей внутри и за пределами ИБ, Антон начал выступать на новых для нас отраслевых конференциях, и это тоже очень круто. Приятно, что на некоторые нас целенаправленно зовут.

Да, венчурный рынок в России не то, чтобы очень жив, но и тут возможны разные варианты. С другой стороны, возможность вполне неплохо развивать проект на выручку от него очень мотивирует) И да, нас узнают, нами многие заинтересовались.

В общем, пока все выглядит очень интересным приключением, которое может вырасти во что-то большее. Продолжаем работу.