Слепое расследование?
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.
ChatGPT потенциально уязвима — проблема в данных для обучения.
Как пишут исследователи, всего за 60 долларов США мы могли бы отравить 0,01% наборов данных LAION-400 или COYO-700 в 2022 году. Идея в следующем: ChatGPT и другие подобные AI-модели обучаются на нескольких огромных и обновляемых датасетах. Эти датасеты агрегируются из множества публичных источников, которые считаются "условно верифицированными". Проблема в том, что время от времени некоторые из этих URL становятся доступны для регистрации просто потому, что время их регистрации истекает. И злоумышленник, потратив достаточно времени и денег, может "захватить" некоторое количестве верифицированных доменов. И подменить их содержание.
Все это можно назвать "проблемой вредоносного обучения", когда искуственный интеллект изначально обучается на в лучшем случае некорректных, а в худшем случае — осознанно модифицированных данных. Валидация датасета, вероятно, не производится — при исходном объеме это достаточно затруднительно. Отчасти, добросовестных пользователей защищает тот факт, что исходные данные действительно огромные, и для того, чтобы всерьез повлиять на исходный датасет нужно очень много сил и времени.
Выглядит так, как будто продвижение "вредоносных вставок" становится отдельной и очень серьезной задачей — они не должны слишком сильно пересекаться или противоречить другим источникам. Плюс если у тебя "захвачено" несколько верифицированных доменов, ты можешь пробовать активнее продвигать свой код. И в итоге запрос типа "GPT подскажи как написать кусок кода вот этой библиотеки" уже будет давать пример с закладкой внутри.
Не очень понятно, на сколько проблема велика и реальна, но теоретическая возможность "заразить" исходные данные для работы есть, а при определенном упорстве вероятность того, что чат-бот с ИИ реально использует код с вредоносными вставками изрядно повышаются. Будем посмотреть, но уже сейчас очевидно, что уязвимости AI-генераторов со временем будут только проявляться.
Как пишут исследователи, всего за 60 долларов США мы могли бы отравить 0,01% наборов данных LAION-400 или COYO-700 в 2022 году. Идея в следующем: ChatGPT и другие подобные AI-модели обучаются на нескольких огромных и обновляемых датасетах. Эти датасеты агрегируются из множества публичных источников, которые считаются "условно верифицированными". Проблема в том, что время от времени некоторые из этих URL становятся доступны для регистрации просто потому, что время их регистрации истекает. И злоумышленник, потратив достаточно времени и денег, может "захватить" некоторое количестве верифицированных доменов. И подменить их содержание.
Все это можно назвать "проблемой вредоносного обучения", когда искуственный интеллект изначально обучается на в лучшем случае некорректных, а в худшем случае — осознанно модифицированных данных. Валидация датасета, вероятно, не производится — при исходном объеме это достаточно затруднительно. Отчасти, добросовестных пользователей защищает тот факт, что исходные данные действительно огромные, и для того, чтобы всерьез повлиять на исходный датасет нужно очень много сил и времени.
Выглядит так, как будто продвижение "вредоносных вставок" становится отдельной и очень серьезной задачей — они не должны слишком сильно пересекаться или противоречить другим источникам. Плюс если у тебя "захвачено" несколько верифицированных доменов, ты можешь пробовать активнее продвигать свой код. И в итоге запрос типа "GPT подскажи как написать кусок кода вот этой библиотеки" уже будет давать пример с закладкой внутри.
Не очень понятно, на сколько проблема велика и реальна, но теоретическая возможность "заразить" исходные данные для работы есть, а при определенном упорстве вероятность того, что чат-бот с ИИ реально использует код с вредоносными вставками изрядно повышаются. Будем посмотреть, но уже сейчас очевидно, что уязвимости AI-генераторов со временем будут только проявляться.
Как удостовериться в компетентности подрядчика по кибербезопасности
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!
Media is too big
VIEW IN TELEGRAM
И в продолжение — вот такое видео про механику работы площадки и нынешний рынок услуг в ИБ. Субподряды и "коты в мешке" — это реальная проблема, с которой мы стремимся бороться.
Встречаемся 19-20 мая на PHDays
Смело подходите ко мне в кулуарах буду рад познакомиться лично и пообщаться!
Антон Бочкарев
Смело подходите ко мне в кулуарах буду рад познакомиться лично и пообщаться!
Антон Бочкарев
Forwarded from Объявления конференции HighLoad++
⠀
📋 https://vk.cc/cmiIKn
⠀
Путь каждой компании к тому, чтобы наконец заняться кибербезопасностью - индивидуален. Но он всегда похож на 5 стадий принятия неизбежного “Отрицание”, “Гнев”, “Торг”, “Депрессия”, “Смирение”. Каждая из этих стадий сопровождается одним и тем же набором предубеждений о кибербезе, ошибочных действий и откровенного противодействия различных структур компании, вне зависимости от типа бизнеса.
⠀
Антон расскажет какие аргументы использовать и какие действия предпринимать для того, чтобы максимально быстро и безболезненно эти стадии пройти. А кто подумал, что их придется пройти лишь один раз? Уже существующему подразделению безопасности постоянно приходится доказывать свою необходимость и возвращаться к этим этапам.
⠀
Встречаемся на Saint HighLoad++ 2023 🖐
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
Слив самого себя — лучшие практики от специалистов из АНБ.
Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского?
Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло.
Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно:
Ты сотрудник секретного отдела АНБ (APT Equation Group)
@@@
Пишешь экплойты и хак-инструменты для ведомства
@@@
Высокопрофессионален и умен
@@@
Но любишь поработать из дома
@@@
Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего
@@@
Но не хочешь тратить ЗП на легальный офис, качаешь с кряком!
@@@
Решаешь включить антивирь, проверить паленый офис
@@@
Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще?
@@@
Твои секретные разработки!
@@@
А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России!
Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN.
Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло.
Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.
Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского?
Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло.
Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно:
Ты сотрудник секретного отдела АНБ (APT Equation Group)
@@@
Пишешь экплойты и хак-инструменты для ведомства
@@@
Высокопрофессионален и умен
@@@
Но любишь поработать из дома
@@@
Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего
@@@
Но не хочешь тратить ЗП на легальный офис, качаешь с кряком!
@@@
Решаешь включить антивирь, проверить паленый офис
@@@
Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще?
@@@
Твои секретные разработки!
@@@
А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России!
Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN.
Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло.
Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
"Все уже взломано, до нас"
Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения.
Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов.
Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи.
Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.
Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения.
Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов.
Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи.
Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.
This media is not supported in your browser
VIEW IN TELEGRAM
PHDays подходит к концу
Что точно запомнилось всем? Это.
Пропустить открытие или первую лекцию из-за очереди? Легко!
Благо все записи будут в сети.
Что точно запомнилось всем? Это.
Пропустить открытие или первую лекцию из-за очереди? Легко!
Благо все записи будут в сети.
Пример шикарной шутки про очередь из комьюнити)
https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller
https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller
Авито
Место в очереди на phdays12 в Москве | Услуги | Авито
Место в очереди на phdays12 в Москве. Профессиональные услуги и сервисы на Авито. Место в очереди на phdays12 в первом десятке. Там где тонкие очереди переходят в толстую ;) Экономь свое время, не стой в очередях!
Все можно сломать — но ломали ли спутники?
Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей.
Теперь техническую возможность подтвердили сотрудники французского оборонного концерна Thales — они взломали испытательный орбитальный наноспутник. В общем, теперь классика из кино в стиле "дай нам картинку с взломанного спутника" уже не только часть серии фильмов о Джеймсе Бонде. И хотя работа проводилась на тестовом стенде на конференции в Париже, нет особых сомнений, что нечто подобное можно сделать на практике.
А еще есть две других больших проблемы. Первая — это средний возраст спутников на орбите. Массовые устройства можно обновить или в конце концов заменить, со спутниками ситуация сильно сложнее. Вторая — это общая новизна задачи. Вопрос безопасности софта для объектов на орбите не то, чтобы очень популярный и хорошо изученный.
Из плюсов — даже взломав спутник, сделать с ним что-то совсем ужасное довольно сложно. Да, в космосе есть ядерные реакторы, но нет оружия. Падение его на Землю тоже не выглядит ужасной перспективой. Но потеря данных, и конфиденциальных — вполне возможна.
Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей.
Теперь техническую возможность подтвердили сотрудники французского оборонного концерна Thales — они взломали испытательный орбитальный наноспутник. В общем, теперь классика из кино в стиле "дай нам картинку с взломанного спутника" уже не только часть серии фильмов о Джеймсе Бонде. И хотя работа проводилась на тестовом стенде на конференции в Париже, нет особых сомнений, что нечто подобное можно сделать на практике.
А еще есть две других больших проблемы. Первая — это средний возраст спутников на орбите. Массовые устройства можно обновить или в конце концов заменить, со спутниками ситуация сильно сложнее. Вторая — это общая новизна задачи. Вопрос безопасности софта для объектов на орбите не то, чтобы очень популярный и хорошо изученный.
Из плюсов — даже взломав спутник, сделать с ним что-то совсем ужасное довольно сложно. Да, в космосе есть ядерные реакторы, но нет оружия. Падение его на Землю тоже не выглядит ужасной перспективой. Но потеря данных, и конфиденциальных — вполне возможна.
Telegram
3side кибербезопасности
Взлом спутников 24 февраля
Тут в октябре вышла интереснейшая публикация одного из университетов США, о том, каким образом возможно была проведена атака на клиентов спутникового интернета ViaSat. Я попробую простым языком и без политики объяснить вам, что…
Тут в октябре вышла интереснейшая публикация одного из университетов США, о том, каким образом возможно была проведена атака на клиентов спутникового интернета ViaSat. Я попробую простым языком и без политики объяснить вам, что…
Простым языком про ИБ
Тут Антон записался в подкасте от чудесных ребят из команды "Серёжа и микрофон"(Их же подкаст БИГ НАМБРЗ). Вроде бы получилось достаточно интересно, просто и понятно. Мы вообще стараемся активно участвовать в такого рода движухах — это ведь не только про узнаваемость Антона и нашей компании, это еще и про популяризацию ИБ. А для нас это тоже важно.
https://vk.com/wall-189047791_582
Подкаст, к сожалению, эксклюзив для ВК, но это не помешало ему собрать 700К+ просмотров!
P.S.: а еще один из основателей 3side при просмотре с ностальгией вспоминал Илью Огурцова из "Реутов ТВ" ))
Тут Антон записался в подкасте от чудесных ребят из команды "Серёжа и микрофон"(Их же подкаст БИГ НАМБРЗ). Вроде бы получилось достаточно интересно, просто и понятно. Мы вообще стараемся активно участвовать в такого рода движухах — это ведь не только про узнаваемость Антона и нашей компании, это еще и про популяризацию ИБ. А для нас это тоже важно.
https://vk.com/wall-189047791_582
Подкаст, к сожалению, эксклюзив для ВК, но это не помешало ему собрать 700К+ просмотров!
P.S.: а еще один из основателей 3side при просмотре с ностальгией вспоминал Илью Огурцова из "Реутов ТВ" ))
VK
Серёжа и микрофон. Подкаст. Пост со стены.
Дополнительный выпуск этой недели с белым хакером Антоном Бочкаревым про безопасность в сети, истори... Смотрите полностью ВКонтакте.
В России критически не хватает специалистов по ИБ
Тут "Зарплата.ру" вместе со Skillfactory провели опрос — выяснилось, что практически каждый третий руководитель считает, что в 3 квартале 2023 года он будет нуждаться в специалистах по ИБ. В первую очередь — в мидлах и начальниках отделов (для малого бизнеса это по-факту квази-CISO). Всего в России не хватает порядка 30 тысяч ИБ-специалистов.
Тут, правда, есть один неприятный момент — такого количества кибербезопасников, особенно опытных, в России чисто физически нет, и в ближайшее время не появится. Рынок растет со скоростью 30-40% в год, при этом людей на рынке физически стало меньше, если не говорить о выпускниках курсов, а они без дополнительной подготовки практически бесполезны.
И вот при классическом подходе проблема решается года за 3-4, и это при том, что опытные специалисты не продолжат уезжать. А с учетом разницы в уровне зарплат между IT и ИБ и даже между российским и не-российским ИБ, с учетом наличия Эмиратов, Саудовской Аравии, крупных международных компаний ... если честно, у нас вообще есть ощущение, что ИБ-специалистов на рынке в ближайшие годы радикально больше не станет.
А будет происходить еще большее расслоение между крупным бизнесом, который заткнет проблему деньгами "потому что может" и МСБ, который традиционно будет пытаться влезть в очень ограниченный бюджет. В который влезть практически невозможно. И нам очень хочется написать что-то в духе "мы — единственный доступный для МСБ способ получить качественные услуги по ИБ за вменяемые деньги", но мы об этом и так много раз писали.
В общем, поглядим что будет на рынке, но пока есть ощущение, что проблема с людьми — она на годы.
Тут "Зарплата.ру" вместе со Skillfactory провели опрос — выяснилось, что практически каждый третий руководитель считает, что в 3 квартале 2023 года он будет нуждаться в специалистах по ИБ. В первую очередь — в мидлах и начальниках отделов (для малого бизнеса это по-факту квази-CISO). Всего в России не хватает порядка 30 тысяч ИБ-специалистов.
Тут, правда, есть один неприятный момент — такого количества кибербезопасников, особенно опытных, в России чисто физически нет, и в ближайшее время не появится. Рынок растет со скоростью 30-40% в год, при этом людей на рынке физически стало меньше, если не говорить о выпускниках курсов, а они без дополнительной подготовки практически бесполезны.
И вот при классическом подходе проблема решается года за 3-4, и это при том, что опытные специалисты не продолжат уезжать. А с учетом разницы в уровне зарплат между IT и ИБ и даже между российским и не-российским ИБ, с учетом наличия Эмиратов, Саудовской Аравии, крупных международных компаний ... если честно, у нас вообще есть ощущение, что ИБ-специалистов на рынке в ближайшие годы радикально больше не станет.
А будет происходить еще большее расслоение между крупным бизнесом, который заткнет проблему деньгами "потому что может" и МСБ, который традиционно будет пытаться влезть в очень ограниченный бюджет. В который влезть практически невозможно. И нам очень хочется написать что-то в духе "мы — единственный доступный для МСБ способ получить качественные услуги по ИБ за вменяемые деньги", но мы об этом и так много раз писали.
В общем, поглядим что будет на рынке, но пока есть ощущение, что проблема с людьми — она на годы.
Известия
ИБ не ведают: бизнесу не хватает специалистов по кибербезопасности
Треть российских компаний собираются искать сотрудника в этой сфере
К сожалению, всякое бывает. Не надо так делать.
Telegram
Information Security Memes
Взломали sk.ru (Сколково). Слили всё что можно, пошифровали всё что можно. Есть одно но... 🤷
Отмена нашего участия в OFFZONE
К сожалению, наше запланированное участие в подготовке тату-зоны на OFFZONE отменяется. Чем больше компания, тем больше бюрократия и сложные внутренние правила влияют на договоренности. Все, кому я говорил, что уж в этом году тату-зона будет крутой и я все сделаю "как в 2018" — извините. В этом году я не буду за нее отвечать. Увы, но наше предварительно оговоренное условие "один баннер 3side около зоны" сейчас не было согласовано.
Из плюсов, выяснили мы это в середине подготовки, а не уже на месте. И времени было потрачено немного. Так бывает: чем больше людей, тем сложнее договариваться.
Вот вам фото со шкурой 2018 года, для привлечения внимания!
К сожалению, наше запланированное участие в подготовке тату-зоны на OFFZONE отменяется. Чем больше компания, тем больше бюрократия и сложные внутренние правила влияют на договоренности. Все, кому я говорил, что уж в этом году тату-зона будет крутой и я все сделаю "как в 2018" — извините. В этом году я не буду за нее отвечать. Увы, но наше предварительно оговоренное условие "один баннер 3side около зоны" сейчас не было согласовано.
Из плюсов, выяснили мы это в середине подготовки, а не уже на месте. И времени было потрачено немного. Так бывает: чем больше людей, тем сложнее договариваться.
Вот вам фото со шкурой 2018 года, для привлечения внимания!
«Ребят, вы че издеваетесь? Это вам не курсы от мошенников!» — CyberEd запустили открытый и действительно годный проект по наступающей кибербезопасности, там работают наши друзья и в качестве их проекта сомневаться не приходится.
Все кто хочет вкатиться в кибербез, велкам к ним, новые профессионалы сейчас очень нужны рынку. Это не реклама — курс действительно сделан людьми из индустрии.
Все кто хочет вкатиться в кибербез, велкам к ним, новые профессионалы сейчас очень нужны рынку. Это не реклама — курс действительно сделан людьми из индустрии.
Telegram
YAH
Открытая образовательная программа для Хакеров
Про программу «Профессия – белый хакер» я уже писал, но очень хочется правильно донести посыл.
Я захотел сделать открытый образовательный проект по наступательной кибербезопасности для всех, кто имеет отношение…
Про программу «Профессия – белый хакер» я уже писал, но очень хочется правильно донести посыл.
Я захотел сделать открытый образовательный проект по наступательной кибербезопасности для всех, кто имеет отношение…
Утечка ключей прошивок MSI
Иногда операторы ransomware(шифровальщиков) добираются и до гигантов, а приводит это вот к чему. Операторами новой ransomware-групы Money Message были украдены ключи для электронной подписи прошивок MSI.
И эти ключи быстро и просто не отозвать, а некоторые не отозвать вообще никак, без замены чипов.
Чем это опасно?
Простыми словами это можно описать так.
При загрузке операционной системы, загрузчик опирается на цепочку доверия, а строится она на подписанных подобными ключами механизмах.
Только подписанные правильными ключами прошивки имеют право загружаться перед стартом операционной системы, дальше уже всю защиту берет на себя она, и ее средства защиты такие как антивирусы.
Теперь, получив ключи для подписи прошивок MSI, злоумышленники смогут внедриться в процесс безопасной загрузки на тех зараженных устройствах, где установлена материнская плата этого производителя.
А значит вредоносный код загрузится значительно раньше антивирусов и средств защиты операционной системы. Вирус сможет полноценно управлять работой ОС и противодействовать ему из под операционной системы будет невозможно.
И в ряде случаев, вирус сможет прописать свою прошивку в память материнской платы, тогда не поможет даже замена жесткого диска.
Кто под угрозой?
Те, чьи устройства базируются на материнской плате MSI, если они будут заражены.
Как проверить какая у меня материнская плата?
Windows: Нажмите кнопку Пуск , выберите Параметры > Система > Сведения о системе
Смотрите на строчку "Изготовитель основной платы"
Как этому противодействовать?
Ждать решения от MSI, но часть ключей уже предзаписаны в одноразовой памяти, их сменить не получится. Возможно они придумают как это обойти.
Максимально усилить защиту на уровне ОС, ведь чтобы закрепиться в загрузчике вредоносу нужно первоначально заразить систему.
Ну или если вы хотели пересобрать ПК, самое время поменять материнскую плату.
Более сложно и развернуто про это написали Касперски Лаб, прочитать можно тут.
Иногда операторы ransomware(шифровальщиков) добираются и до гигантов, а приводит это вот к чему. Операторами новой ransomware-групы Money Message были украдены ключи для электронной подписи прошивок MSI.
И эти ключи быстро и просто не отозвать, а некоторые не отозвать вообще никак, без замены чипов.
Чем это опасно?
Простыми словами это можно описать так.
При загрузке операционной системы, загрузчик опирается на цепочку доверия, а строится она на подписанных подобными ключами механизмах.
Только подписанные правильными ключами прошивки имеют право загружаться перед стартом операционной системы, дальше уже всю защиту берет на себя она, и ее средства защиты такие как антивирусы.
Теперь, получив ключи для подписи прошивок MSI, злоумышленники смогут внедриться в процесс безопасной загрузки на тех зараженных устройствах, где установлена материнская плата этого производителя.
А значит вредоносный код загрузится значительно раньше антивирусов и средств защиты операционной системы. Вирус сможет полноценно управлять работой ОС и противодействовать ему из под операционной системы будет невозможно.
И в ряде случаев, вирус сможет прописать свою прошивку в память материнской платы, тогда не поможет даже замена жесткого диска.
Кто под угрозой?
Те, чьи устройства базируются на материнской плате MSI, если они будут заражены.
Как проверить какая у меня материнская плата?
Windows: Нажмите кнопку Пуск , выберите Параметры > Система > Сведения о системе
Смотрите на строчку "Изготовитель основной платы"
Как этому противодействовать?
Ждать решения от MSI, но часть ключей уже предзаписаны в одноразовой памяти, их сменить не получится. Возможно они придумают как это обойти.
Максимально усилить защиту на уровне ОС, ведь чтобы закрепиться в загрузчике вредоносу нужно первоначально заразить систему.
Ну или если вы хотели пересобрать ПК, самое время поменять материнскую плату.
Более сложно и развернуто про это написали Касперски Лаб, прочитать можно тут.
www.kaspersky.ru
Как защититься от прошивок, подписанных украденным ключом MSI
Что делать для защиты компьютеров от UEFI-угроз после утечки ключей компании MSI
"Операция Триангуляция", или о чем сегодня заявило ФСБ.
Сегодня ФСБ России выпустило пресс релиз об атаке на устройства Apple дипломатов и политиков.
СМИ побежали репостить, неискушенные безопасностью читатели побежали кричать, что IPhone – шпионский девайс, как они и думали. А специалисты задались вопросом «Какие ваши доказательства?».
Но вот доказательства появились, но там нет политики и «сотрудничества Apple», как мы и ожидали. Ведь доказательства и технические подробности выложили сами авторы расследования, эксперты Лаборатории Касперского! А они не про политику, они про технику и факты.
Что же они нашли?
С 2019 года происходит высокотехнологичная атака на дипломатов и других важных для политики деятелей с использованием эксплойтов для IPhone. Она похожа по своей сути на то, что когда-то использовали NSO Group, о чем мы писали тут.
• Дипломату приходит сообщение в iMessage с вредоносным вложением, которое вызывает в системе выполнение вредоносного кода без участия пользователя.
• Далее загружается несколько подмодулей вируса, обеспечивающих поднятие привилегий до системных.
• И в конце в оперативную память телефона загружается полноценная платформа для шпионажа, которая будет там находиться до перезагрузки устройства.
• А если телефон будет перезагружен, что в целом происходит не так часто, то телефон просто заразят повторно.
Пока анализ этого вредоноса продолжается, ждем еще подробностей.
Как от этого защититься?
Неизвестно, ждем рекомендаций исследователей и Apple.
Это массовая атака?
Таргетированная, заражаются телефоны людей представляющий интерес. Если вы не дипломат, маловероятно, что вы в списке.
Доказательств какой-либо помощи Apple в этой атаке в расследовании нет.
Технические подробности расследования можно прочитать тут, и там указаны все известные индикаторы компрометации.
Сегодня ФСБ России выпустило пресс релиз об атаке на устройства Apple дипломатов и политиков.
СМИ побежали репостить, неискушенные безопасностью читатели побежали кричать, что IPhone – шпионский девайс, как они и думали. А специалисты задались вопросом «Какие ваши доказательства?».
Но вот доказательства появились, но там нет политики и «сотрудничества Apple», как мы и ожидали. Ведь доказательства и технические подробности выложили сами авторы расследования, эксперты Лаборатории Касперского! А они не про политику, они про технику и факты.
Что же они нашли?
С 2019 года происходит высокотехнологичная атака на дипломатов и других важных для политики деятелей с использованием эксплойтов для IPhone. Она похожа по своей сути на то, что когда-то использовали NSO Group, о чем мы писали тут.
• Дипломату приходит сообщение в iMessage с вредоносным вложением, которое вызывает в системе выполнение вредоносного кода без участия пользователя.
• Далее загружается несколько подмодулей вируса, обеспечивающих поднятие привилегий до системных.
• И в конце в оперативную память телефона загружается полноценная платформа для шпионажа, которая будет там находиться до перезагрузки устройства.
• А если телефон будет перезагружен, что в целом происходит не так часто, то телефон просто заразят повторно.
Пока анализ этого вредоноса продолжается, ждем еще подробностей.
Как от этого защититься?
Неизвестно, ждем рекомендаций исследователей и Apple.
Это массовая атака?
Таргетированная, заражаются телефоны людей представляющий интерес. Если вы не дипломат, маловероятно, что вы в списке.
Доказательств какой-либо помощи Apple в этой атаке в расследовании нет.
Технические подробности расследования можно прочитать тут, и там указаны все известные индикаторы компрометации.
securelist.ru
Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства
Эксперты "Лаборатории Касперского" обнаружили новую APT-атаку, нацеленную на устройства под управлением iOS. Мы называем ее "Операция Триангуляция" (Operation Triangulation).
Опыт CTF, решенные задания на площадках и прочие соревнования по ИБ - это о чем-нибудь говорит и чему-то учит?
На сколько CTF и прочие ИБ-шные соревнования вообще соответствуют задачам из реальной жизни? Есть разные мнения, от "лучше так, чем никак" до "CTF дает определенные знания". А с учетом дефицита ИБ-специалистов в стране, на сколько вообще опыт CTF может быть релевантен для работодателя?
Обо всем этом мы поговорим через неделю, 8 июня на Код ИБ Калининград. От нас там будет Антон с довольно обширной программой (Доклад + круглый стол + учения +круглый стол в ВУЗе).
В общем, будем рады увидеться!
На сколько CTF и прочие ИБ-шные соревнования вообще соответствуют задачам из реальной жизни? Есть разные мнения, от "лучше так, чем никак" до "CTF дает определенные знания". А с учетом дефицита ИБ-специалистов в стране, на сколько вообще опыт CTF может быть релевантен для работодателя?
Обо всем этом мы поговорим через неделю, 8 июня на Код ИБ Калининград. От нас там будет Антон с довольно обширной программой (Доклад + круглый стол + учения +круглый стол в ВУЗе).
В общем, будем рады увидеться!
Telegram
КОД ИБ: информационная безопасность
🔳 Код ИБ в Калининграде - событие, которое нельзя пропустить!
Актуальные знания в сфере информационной безопасности, обсуждение тенденций и методов по защите информации, дружественная атмосфера и знакомства с коллегами из отрасли — все это про конференцию…
Актуальные знания в сфере информационной безопасности, обсуждение тенденций и методов по защите информации, дружественная атмосфера и знакомства с коллегами из отрасли — все это про конференцию…
Про бизнес и российскую ИБ
Мы тут, кажется, вписались в один очень любопытный проект по ИБ — очень большой и комплексный. О деталях расскажем после его завершения, а пока некоторые "рассуждения на тему".
Российская ИБ всегда была "впереди планеты всей" (ну, или на очень высоком уровне) по квалификации специалистов и качеству многих продуктов. К сожалению, с точки зрения управления ИБ-рисками, финансовой составляющей и сопутствующих продуктов (например, страхования киберрисков) мы всегда отставали от США и других стран. Что обидно — специалисты у нас не хуже.
Мы очень надеемся, что в ближайшие пару лет ситуация изменится, и мы бы очень хотели быть в авангарде такого рода изменений.
Мы тут, кажется, вписались в один очень любопытный проект по ИБ — очень большой и комплексный. О деталях расскажем после его завершения, а пока некоторые "рассуждения на тему".
Российская ИБ всегда была "впереди планеты всей" (ну, или на очень высоком уровне) по квалификации специалистов и качеству многих продуктов. К сожалению, с точки зрения управления ИБ-рисками, финансовой составляющей и сопутствующих продуктов (например, страхования киберрисков) мы всегда отставали от США и других стран. Что обидно — специалисты у нас не хуже.
Мы очень надеемся, что в ближайшие пару лет ситуация изменится, и мы бы очень хотели быть в авангарде такого рода изменений.