Есть очень важная вещь, которую вообще мало кто может реализовать.
Допустим, у вас уже есть простой, не требующий заполнения от руки заявления в трёх экземплярах, способ сообщить в службу (информационной) безопасности о том, что сотрудник обнаружил направленные на него лично или на компанию атаки: фишинговые письма, подозрительную активность на своём компе, что ему звонил кто-то подозрительный и представлялся сисадмином и т.п.
Теперь сложное.
Чтобы этот канал связи работал, сотрудник должен быть абсолютно уверен в том, что на любое его сообщение отреагируют серьёзно и ответственно.
Во первых, что разберутся, примут меры (обязательно примут, не забьют!) и дадут какую-то обратную связь.
А во вторых, и это самое важное, даже если он сообщит о собственном косяке: вбил пароль на фишинговом сайте; словил троянца на порносайте; вставил флэшку, найденную перед входом в офис; переслал фиг знает кому документ с самой страшной тайной компании; оставил в интернете сервер, на который разрешено логиниться под root с паролем "123"...
В общем, о чём бы он ни сообщил, он должен быть уверен, что ему за это ни-че-го не бу-дет.
Причём в это "ничего" в том числе входит, что над ним не будут смеяться, тыкать пальцами, обсуждать в курилке, какой же он идиот. Спокойно отреагируют на его сообщение, спокойно исправят, спокойно скажут спасибо, что сообщил.
Допустим, у вас уже есть простой, не требующий заполнения от руки заявления в трёх экземплярах, способ сообщить в службу (информационной) безопасности о том, что сотрудник обнаружил направленные на него лично или на компанию атаки: фишинговые письма, подозрительную активность на своём компе, что ему звонил кто-то подозрительный и представлялся сисадмином и т.п.
Теперь сложное.
Чтобы этот канал связи работал, сотрудник должен быть абсолютно уверен в том, что на любое его сообщение отреагируют серьёзно и ответственно.
Во первых, что разберутся, примут меры (обязательно примут, не забьют!) и дадут какую-то обратную связь.
А во вторых, и это самое важное, даже если он сообщит о собственном косяке: вбил пароль на фишинговом сайте; словил троянца на порносайте; вставил флэшку, найденную перед входом в офис; переслал фиг знает кому документ с самой страшной тайной компании; оставил в интернете сервер, на который разрешено логиниться под root с паролем "123"...
В общем, о чём бы он ни сообщил, он должен быть уверен, что ему за это ни-че-го не бу-дет.
Причём в это "ничего" в том числе входит, что над ним не будут смеяться, тыкать пальцами, обсуждать в курилке, какой же он идиот. Спокойно отреагируют на его сообщение, спокойно исправят, спокойно скажут спасибо, что сообщил.
а вы бы сообщили, что немножко косякнули, и это может иметь ой какие последствия для компании?
Anonymous Poll
51%
да, конечно, это безопасность
12%
я не могу, у меня ипотека
6%
я раз им сообщил, теперь моя фотка с пририсованными ослиными ушами висит у них на мишени для дартса.
17%
мне некому сообщать, у меня нет службы безопасности
15%
я из той самой службы безопасности, и никогда никому не расскажу о своих косяках
В недавнем посте мы высказали мнение, что пароли ещё поживут.
Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.
Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.
Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).
В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.
В общем, единственное, чего добиваются исповедующие политику парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.
Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.
Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.
Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.
Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.
Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.
А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.
Итак, чтобы парольная защита работала, как ей положено:
1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны использовать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте подозрительные авторизации. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.
Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:
— NIST Special Publication 800-63B
— CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании
* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.
Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.
Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.
Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).
В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.
В общем, единственное, чего добиваются исповедующие политику парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.
Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.
Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.
Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.
Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.
Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.
А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.
Итак, чтобы парольная защита работала, как ей положено:
1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны использовать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте подозрительные авторизации. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.
Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:
— NIST Special Publication 800-63B
— CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании
* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.
CIS
White Paper: CIS Password Policy Guide
The CIS Password Policy Guide was developed by the CIS Benchmarks community and consolidates password guidance in one place.
This media is not supported in your browser
VIEW IN TELEGRAM
Иранские хакеры взломали систему видеонаблюдения в иранской же тюрьме, чтобы показать миру случаи жестокого обращения с заключёнными.
Сами случаи — выглядят манипулятивной подборкой (кого-то тащат по полу за руки, кого-то тащат за шкирку, кто-то лежит на полу, предыстория нигде не показана), а вот прилагающиеся к ролику редкие кадры, как охранники тюрьмы реагируют на замену видео посланиями хакеров, мы вам оттуда вырезали.
Сами случаи — выглядят манипулятивной подборкой (кого-то тащат по полу за руки, кого-то тащат за шкирку, кто-то лежит на полу, предыстория нигде не показана), а вот прилагающиеся к ролику редкие кадры, как охранники тюрьмы реагируют на замену видео посланиями хакеров, мы вам оттуда вырезали.
Кстати, а вот Windows 7 в иранской тюрьме. @sanctionsrisk, это вообще законно? :)
Вчера ЦБ РФ порадовал всех неожиданным уведомлением: Роскомнадзор планирует заблокировать четыре VPN-сервиса, а ЦБ проявляет заботу и просит банки, которые используют эти сервисы в своей работе, сообщить об этом, чтобы не попасть под блокировку.
Нас в этой истории больше всего удивило, что все четыре перечисленных сервиса - это не какие-то специальные корпоративные VPN-провайдеры, это обычные сервисы для анонимизации и обхода блокировок.
Причём, судя по описаниям на сайтах, биографиям руководителей и прочим признакам, сервисы эти пишут логи VPN-соединений для экономии времени сразу на сервера АНБ, ФБР и OFAC.
Интересно, какие, с точки зрения зрения Центробанка, бизнес-процессы могут связывать российские банки с этими ребятами?
Нас в этой истории больше всего удивило, что все четыре перечисленных сервиса - это не какие-то специальные корпоративные VPN-провайдеры, это обычные сервисы для анонимизации и обхода блокировок.
Причём, судя по описаниям на сайтах, биографиям руководителей и прочим признакам, сервисы эти пишут логи VPN-соединений для экономии времени сразу на сервера АНБ, ФБР и OFAC.
Интересно, какие, с точки зрения зрения Центробанка, бизнес-процессы могут связывать российские банки с этими ребятами?
РБК
ЦБ предупредил банки о возможности новых блокировок VPN-сервисов
ЦБ попросил банки назвать VPN-сервисы, которые они используют для работы, чтобы избежать проблем при их блокировке со стороны Роскомнадзора. В частности, запрос касается сервисов Psiphon, Tunnelbear
Некоторые несчастные случаи, с которыми нам доводится сталкиваться, мешает сделать поучительными соглашение о неразглашении. Приходится искать аналогии в истории, благо события происходят с завидной регулярностью, вот например.
Одним прекрасным вечером в конце семидесятых годов лейтенант Новгородов из отдела эксплуатации боевых программ шел на дежурство длинными коридорами радиолокационной станции Дунай-3М. Путь его был тернист — на пути встретился ехидный сослуживец с коварным вопросом: почему первая космическая скорость — 7.2 километра в секунду, а наши распечатки показывают от 5 до 7? Ответа лейтенант не знал, однако, человеком он был любыпытным и склонным к дедукции, поэтому, пока он дошел до своего рабочего места, он получил правдоподобную гипотезу (если вам интересно, он решил, что дело в разных системах координат) и теперь нуждался в её проверке.
Для проверки Новгородов решил использовать то, что под рукой, — так называемую "машину траекторного управления" (МТУ) — одну из двенадцати объединённых в сеть ЭВМ типа 5Э92Б, составлявших вычислительный комплекс РЛС и занимавшуюся построением баллистических траекторий для всех космических объектов, попадавших в поле зрения станции.
Потребовалось дописать соответствующую обвязку к работающей на машине штатной программе, благо делалось это быстро: никаких компиляторов, всё программирование осуществлялось непосредственно в машинных кодах.
К утру загадка разрешилась, дело действительно оказалось в системах координат, а герой нашего повествования исправлял программу, удаляя дописанные куски кода... И тут МТУ выдала в сеть ложную баллистическую цель.
Необычного в этом ничего не было: ложные цели были частыми гостями, но каждый случай тщательно разбирался специальным отделом, а результаты исследований использовались для доработки ПО. Аналитики по ложным целям тоже были ребятами склонными к дедукции и следы от деятельности Новгородова немделенно обнаружили. Дальше шли неприятности, выговоры, следствие, возможное уголовное дело...
Спас разработчик радиолокационной станции — НИИ Дальней Радиосвязи, который не остановился на очевидном виновнике, а проделал тщательный анализ и докопался таки до истинной причины выдачи ложной цели (оказалось, что по этой причине случай ложняка не единичный) и устранил её.
Морали у этой истории две. Во-первых, если не хотите общаться с мрачными сотрудниками КГБ (а их сначала интересовало, не шпион ли гражданин лейтенант, а потом - как сделать так, чтобы подобные ему не лазили шаловливыми ручками в боевую систему) — не ставьте экспериментов на продакшене, независимо от того, у вас там система предупреждения о ракетном нападении или автоматизировая банковская система.
Во-вторых, будьте, как НИИДАР — даже если перед вами стоит и виновато хлопает глазами очевидный виновник инцидента, проверьте другие варианты.
Одним прекрасным вечером в конце семидесятых годов лейтенант Новгородов из отдела эксплуатации боевых программ шел на дежурство длинными коридорами радиолокационной станции Дунай-3М. Путь его был тернист — на пути встретился ехидный сослуживец с коварным вопросом: почему первая космическая скорость — 7.2 километра в секунду, а наши распечатки показывают от 5 до 7? Ответа лейтенант не знал, однако, человеком он был любыпытным и склонным к дедукции, поэтому, пока он дошел до своего рабочего места, он получил правдоподобную гипотезу (если вам интересно, он решил, что дело в разных системах координат) и теперь нуждался в её проверке.
Для проверки Новгородов решил использовать то, что под рукой, — так называемую "машину траекторного управления" (МТУ) — одну из двенадцати объединённых в сеть ЭВМ типа 5Э92Б, составлявших вычислительный комплекс РЛС и занимавшуюся построением баллистических траекторий для всех космических объектов, попадавших в поле зрения станции.
Потребовалось дописать соответствующую обвязку к работающей на машине штатной программе, благо делалось это быстро: никаких компиляторов, всё программирование осуществлялось непосредственно в машинных кодах.
К утру загадка разрешилась, дело действительно оказалось в системах координат, а герой нашего повествования исправлял программу, удаляя дописанные куски кода... И тут МТУ выдала в сеть ложную баллистическую цель.
Необычного в этом ничего не было: ложные цели были частыми гостями, но каждый случай тщательно разбирался специальным отделом, а результаты исследований использовались для доработки ПО. Аналитики по ложным целям тоже были ребятами склонными к дедукции и следы от деятельности Новгородова немделенно обнаружили. Дальше шли неприятности, выговоры, следствие, возможное уголовное дело...
Спас разработчик радиолокационной станции — НИИ Дальней Радиосвязи, который не остановился на очевидном виновнике, а проделал тщательный анализ и докопался таки до истинной причины выдачи ложной цели (оказалось, что по этой причине случай ложняка не единичный) и устранил её.
Морали у этой истории две. Во-первых, если не хотите общаться с мрачными сотрудниками КГБ (а их сначала интересовало, не шпион ли гражданин лейтенант, а потом - как сделать так, чтобы подобные ему не лазили шаловливыми ручками в боевую систему) — не ставьте экспериментов на продакшене, независимо от того, у вас там система предупреждения о ракетном нападении или автоматизировая банковская система.
Во-вторых, будьте, как НИИДАР — даже если перед вами стоит и виновато хлопает глазами очевидный виновник инцидента, проверьте другие варианты.
Cybersecgame
Как вы думаете, какой самый доступный способ добыть правдоподобную фотографию российского паспорта на произвольное имя? Вот такой. Кто бы мог подумать.
Кстати, нигерийские спамеры вовсю пользуются: ходят по телеграму якобы русские граждане с паспортами в качестве аватарок, и предлагают многомиллионное наследство лично тебе, добрый человек.
Следует поспешить, пока благодетель не скончался от заболевания, которое гуглопереводчик назвал "рак веры". Вероятно того самого, которое заставляет человека вестись на такое нехитрое мошенничество.
Следует поспешить, пока благодетель не скончался от заболевания, которое гуглопереводчик назвал "рак веры". Вероятно того самого, которое заставляет человека вестись на такое нехитрое мошенничество.
Друзья, а что должно быть на картинке в рекламе игр по информационной безопасности, что лично вас зацепит и заставит кликнуть? Счастливых корпоративных служащих со стоковых сайтов не предлагать.
Текст ниже стал для нас цитатой недели. Перечитываем, ищем смысл и наслаждаемся.
(Пророчества из киберпанк-романов - это всегда повод к размышлениям, особенно если они о сообществах людей, хоть и не самых обычных.)
Знаете, о чем речь?
1. Это движение уже нельзя контролировать, и, кажется, ясной мотивации в его рядах уже нет.
2. Лидеры движения начали прятать настоящие личности чуть более тщательно, - и все из-за произведенных арестов.
3. Привычка опираться во всем на технологии и станет их крахом.
4. Межличностные отношения - это слабое звено в их цепи, и усиливать их они не будут.
5. То, что их атаки все набирают силу, приведет к очень серьезным результатам, а на самом деле, - к настоящим смертям.
(Пророчества из киберпанк-романов - это всегда повод к размышлениям, особенно если они о сообществах людей, хоть и не самых обычных.)
Знаете, о чем речь?
1. Это движение уже нельзя контролировать, и, кажется, ясной мотивации в его рядах уже нет.
2. Лидеры движения начали прятать настоящие личности чуть более тщательно, - и все из-за произведенных арестов.
3. Привычка опираться во всем на технологии и станет их крахом.
4. Межличностные отношения - это слабое звено в их цепи, и усиливать их они не будут.
5. То, что их атаки все набирают силу, приведет к очень серьезным результатам, а на самом деле, - к настоящим смертям.
Надеемся, вы нас троллили, ну правда.
Конечно же, цитата - это не Филипп Дик, не Уильям Гибсон и даже не "Cyberpunk-2077". Тем не менее, это во многом киберпанк-роман.
Это - та-дааам! - дословный (отсюда странные формулировки) перевод одной из главных частей документа, выдаваемого за "Психологический портрет лидерской верхушки группы Anonymous" (Psychological Profiles of Anonymous Leadership, BSU Quantico, August 2011).
Весь "отчет", как и следует из названия, посвящен психологическим портретам лидеров означенной выше хакерской группировки. Некоторые из авторов канала придирчиво искали описание методики или хоть какие-то намеки на это, чтобы понять, как по логам из IRС и твиттера можно выяснить этническую принадлежность, профессию и поведенческие паттерны UNSUN (Unknown Subject, термин из отчета), но тщетно.
Перед нами несколько страниц общих слов на тему поведенческой психологии (привет, Дэвид Финчер и Mind hunters, и Квантико, собственно), туманных намеков, чтопо айпи по манере писать в IRC и твиттере можно составить психологический портрет субъекта, а потом - сами профили под кодовыми именами.
Документ несложно найти в интернете.
А теперь важное. "Отчету" 10 лет. И с момента публикации в мире произошли кое-какие изменения. Например, многие из "лидеров Anonymous" были вычислены и даже арестованы. Так что можно выполнить любимое всеми нами и вами действие: сравнить полученный ответ с ответами в конце учебника.
И знаете что?
Если этот отчет - реальный документ, а не фейк (а есть такое мнение, хотя на другой чаше весов — тяжелый американский канцелярит), то... гора родила мышь, а специалисты-бихейвиаристы попали пальцем в небо. В отчете приведены профайлы 4 лидеров (1,2, 3, 5, не спрашивайте), и НИ ОДИН не соответствует истине.
То есть если персонаж описан как белый образованый американец — IT-специалист и примерный семьянин, то в реальности это безработный пуэрториканец, в одиночку воспитывающий детей своей отбывающей наказание в тюрьме тёти...
Так или иначе, главная мысль в этом документе: дорогие анонимы всех мастей, анализируя ваши тексты и манеру поведения онлайн, вас можно вычислить.
Мысль с одной стороны не нова, психологические портреты рисуются криминалистами больше сотни лет, а с другой стороны, теперь вместо клочка бумаги с криво наклеенными газетными буквами у специалистов BSU (настоящих) и их коллег — мегабайты разной переписки. Казалось бы, бери, да деанонимизируй.
Но мы тут сошлись в мнении, что узнать знакомого по тексту можно, а вот деанонимизировать незнакомого ну такое - с риском красиво выступить с цыганочкой и табором, попадающим пальцем в небо...
Или нет?
Конечно же, цитата - это не Филипп Дик, не Уильям Гибсон и даже не "Cyberpunk-2077". Тем не менее, это во многом киберпанк-роман.
Это - та-дааам! - дословный (отсюда странные формулировки) перевод одной из главных частей документа, выдаваемого за "Психологический портрет лидерской верхушки группы Anonymous" (Psychological Profiles of Anonymous Leadership, BSU Quantico, August 2011).
Весь "отчет", как и следует из названия, посвящен психологическим портретам лидеров означенной выше хакерской группировки. Некоторые из авторов канала придирчиво искали описание методики или хоть какие-то намеки на это, чтобы понять, как по логам из IRС и твиттера можно выяснить этническую принадлежность, профессию и поведенческие паттерны UNSUN (Unknown Subject, термин из отчета), но тщетно.
Перед нами несколько страниц общих слов на тему поведенческой психологии (привет, Дэвид Финчер и Mind hunters, и Квантико, собственно), туманных намеков, что
Документ несложно найти в интернете.
А теперь важное. "Отчету" 10 лет. И с момента публикации в мире произошли кое-какие изменения. Например, многие из "лидеров Anonymous" были вычислены и даже арестованы. Так что можно выполнить любимое всеми нами и вами действие: сравнить полученный ответ с ответами в конце учебника.
И знаете что?
Если этот отчет - реальный документ, а не фейк (а есть такое мнение, хотя на другой чаше весов — тяжелый американский канцелярит), то... гора родила мышь, а специалисты-бихейвиаристы попали пальцем в небо. В отчете приведены профайлы 4 лидеров (1,2, 3, 5, не спрашивайте), и НИ ОДИН не соответствует истине.
То есть если персонаж описан как белый образованый американец — IT-специалист и примерный семьянин, то в реальности это безработный пуэрториканец, в одиночку воспитывающий детей своей отбывающей наказание в тюрьме тёти...
Так или иначе, главная мысль в этом документе: дорогие анонимы всех мастей, анализируя ваши тексты и манеру поведения онлайн, вас можно вычислить.
Мысль с одной стороны не нова, психологические портреты рисуются криминалистами больше сотни лет, а с другой стороны, теперь вместо клочка бумаги с криво наклеенными газетными буквами у специалистов BSU (настоящих) и их коллег — мегабайты разной переписки. Казалось бы, бери, да деанонимизируй.
Но мы тут сошлись в мнении, что узнать знакомого по тексту можно, а вот деанонимизировать незнакомого ну такое - с риском красиво выступить с цыганочкой и табором, попадающим пальцем в небо...
Или нет?
К чему мы все это. Мы тоже решили провести подобное исследование. Группы Anonymous под рукой у нас нет, зато есть вы...
Добровольцы, желающие принять участие в эксперименте по деанонимизации через профайлинг, ну или посмеяться над тщетными попытками — напишите нам в бота. Добровольцы набрались.
Мы проведем с каждым интервью с одним и тем же набором вопросов, а потом опубликуем эти тексты (без указания, кто отвечал на вопросы, конечно). И посмотрим, какие выводы сделают участники нашего канала о вашей личности: национальности, месте проживания, профессии и т.п.
Го?
Мы проведем с каждым интервью с одним и тем же набором вопросов, а потом опубликуем эти тексты (без указания, кто отвечал на вопросы, конечно). И посмотрим, какие выводы сделают участники нашего канала о вашей личности: национальности, месте проживания, профессии и т.п.
Го?
Мы обещали вам возможность поиграть в деанонимизацию и ФБР.
Во-первых, спасибо большое нашим добровольцам (их восемь), включившимся в наше кхм исследование . В течение недели они давали ответы на 13 вопросов, генерируя контент для анализа. Нам будет не хватать этого чатика. Это была веселая неделя!
Как и ФБР, вы можете увидеть эти вопросы в виде "простыни" (но с фильтрами, конечно же, если вы не любители больших литературных жанров). Вот тут: https://profiling.cybersecgames.ru
Вопросы были подобраны по определенным принципам и ответы на них должны (по нашей мысли) дать вам пищу для размышлений относительно возраста, профессии, пола и региона проживания наших добровольцев.
Во-вторых, у нас есть правильные ответы. Мы их сами тоже еще не видели. Каждый из добровольцев написал ответ на 4 вопроса относительно себя, а дальше зашифровал их. Ключи они сами пришлют в общий чат, когда вы выскажете догадки.
В-третьих, нам было бы крайне интересно получить от вас развернутые размышления на тему того, кто из наших анонимов кем является, но мы понимаем, что вселенная несовершенна, а значит, и количество энтузиастов от профайлинга будет крайне невелико. Чтобы вам было проще, мы сделали варианты ответов по каждому из анонимов.
Тыкайте в "простыне" в никнейм, там можно давать ответы.
Или в чате. Чтобы не загромождать комментарии мы сделали отдельный: @deanontalk
На работу с данными у вас двое суток. В 0:00 20 ноября объявим правильные ответы. И вот тогда эксперимент можно будет считать завершенным.
Итак, раз-два-три, играем!
И ждем в чате любителей поговорить о людях, деанонимизации через психолингвистику в эпоху, бгг, метавселенных, и вообще.
Во-первых, спасибо большое нашим добровольцам (их восемь), включившимся в наше кхм исследование . В течение недели они давали ответы на 13 вопросов, генерируя контент для анализа. Нам будет не хватать этого чатика. Это была веселая неделя!
Как и ФБР, вы можете увидеть эти вопросы в виде "простыни" (но с фильтрами, конечно же, если вы не любители больших литературных жанров). Вот тут: https://profiling.cybersecgames.ru
Вопросы были подобраны по определенным принципам и ответы на них должны (по нашей мысли) дать вам пищу для размышлений относительно возраста, профессии, пола и региона проживания наших добровольцев.
Во-вторых, у нас есть правильные ответы. Мы их сами тоже еще не видели. Каждый из добровольцев написал ответ на 4 вопроса относительно себя, а дальше зашифровал их. Ключи они сами пришлют в общий чат, когда вы выскажете догадки.
В-третьих, нам было бы крайне интересно получить от вас развернутые размышления на тему того, кто из наших анонимов кем является, но мы понимаем, что вселенная несовершенна, а значит, и количество энтузиастов от профайлинга будет крайне невелико. Чтобы вам было проще, мы сделали варианты ответов по каждому из анонимов.
Тыкайте в "простыне" в никнейм, там можно давать ответы.
Или в чате. Чтобы не загромождать комментарии мы сделали отдельный: @deanontalk
На работу с данными у вас двое суток. В 0:00 20 ноября объявим правильные ответы. И вот тогда эксперимент можно будет считать завершенным.
Итак, раз-два-три, играем!
И ждем в чате любителей поговорить о людях, деанонимизации через психолингвистику в эпоху, бгг, метавселенных, и вообще.
Telegram
Cybersecgame
Надеемся, вы нас троллили, ну правда.
Конечно же, цитата - это не Филипп Дик, не Уильям Гибсон и даже не "Cyberpunk-2077". Тем не менее, это во многом киберпанк-роман.
Это - та-дааам! - дословный (отсюда странные формулировки) перевод одной из главных…
Конечно же, цитата - это не Филипп Дик, не Уильям Гибсон и даже не "Cyberpunk-2077". Тем не менее, это во многом киберпанк-роман.
Это - та-дааам! - дословный (отсюда странные формулировки) перевод одной из главных…
Итак, это завершающий пост из нашей короткой серии “деанонимизация и психолингвистика”. Он получился таким длинным, что большая его часть пошла в Телеграф.
Спасибо всем, кто принял участие в нашей движухе! Было весело. Но увы, пора подводить итоги.
Напомним: прочитав “отчет” (не обсуждаем еще раз его достоверность, просто ставим кавычки на всякий случай) ФБР в котором содержались психологические профили членов группировки Anonymous и сравнив результат с реальными людьми, мы подумали, что, имея в своем распоряжении только текстовые логи бесед в чатах и постов в твиттере, сложно составить профили авторов и не ошибиться.
Этот простой вывод натолкнул нас на мысль провести эксперимент
Спасибо всем, кто принял участие в нашей движухе! Было весело. Но увы, пора подводить итоги.
Напомним: прочитав “отчет” (не обсуждаем еще раз его достоверность, просто ставим кавычки на всякий случай) ФБР в котором содержались психологические профили членов группировки Anonymous и сравнив результат с реальными людьми, мы подумали, что, имея в своем распоряжении только текстовые логи бесед в чатах и постов в твиттере, сложно составить профили авторов и не ошибиться.
Этот простой вывод натолкнул нас на мысль провести эксперимент
Telegraph
Деанонимизация и психолингвистика
Итак, это завершающий пост из нашей короткой серии “деанонимизация и психолингвистика”. Он получился таким длинным, что большая его часть пошла в Телеграф. Спасибо всем, кто принял участие в нашей движухе! Было весело. Но увы, пора подводить итоги. Напомним:…
С днём информационной безопасности, ребят.
Наш проект про то, чтобы объяснить людям, работающим в корпоративной среде правила безопасного поведения.
Но некоторым, увы, ничего объяснять не надо — они всё прекрасно понимают и поступают либо по злому умыслу, либо исходя из "оптимизации усилий". Эта история полна таких персонажей.
Скриншот, который вы увидите в конце поста, мы сделали некоторое время назад в недрах сайта одного крупного онлайн-ритейлера (простите, это PHP). Смысл кода в следующем: из базы данных выбирается поле "title", вопреки названию, содержащее url. Дальше происходит проверка, что посетитель на сайте впервые (не установлены cookie от сайта) и что он пришел из поисковой системы. И дальше — безусловный редирект по полученному ранее url.
Таким образом бывший разработчик сайта обеспечил себе небольшой гешефт: он подставлял url своего аккаунта в партнёрке CPA-сети. Ничего не подозревающий посетитель находил в поисковике, допустим, электрический чайник (а усилиями маркетологов нашего ритейлера, их чайники всегда были наверху выдачи), кликал по нему... И попадал на сайт другого магазина, но тоже на электрический чайник.
Поскольку особой лояльности бренду посетитель не испытывал, да и вообще не был расположен анализировать, каким образом вместо известного магазина "А" он попал на сайт не менее известного магазина "Б", он просто покупал то, что видел. А поскольку CPA-сеть платит партнёру за целевые действия, доход инсайдера был неплохим.
Внимательные читатели наверное заметили слово "бывший". Оказалось, что админы магазина заблокировали все возможные аккаунты разработчика, но совершенно не подумали о том, что он знает пароль от базы данных mysql, которая доступна снаружи через phpmyadmin. Думаем вы уже не очень удивитесь, когда мы скажем, что пароль был от логина root.
Можно сделать много выводов (кое-что мы напишем в следующих постах), но главный: далеко не все люди, с которыми вы работаете, пьёте пиво и ходите на фитнес — хорошие. Киберпреступник — это не голливудский социопат в чёрном капюшоне и маске Гая Фокса, скрывающийся в заставленном ЭЛТ-мониторами подвале. Это такой же человек, как и вы. Возможно ваш администратор или разработчик.
Наш проект про то, чтобы объяснить людям, работающим в корпоративной среде правила безопасного поведения.
Но некоторым, увы, ничего объяснять не надо — они всё прекрасно понимают и поступают либо по злому умыслу, либо исходя из "оптимизации усилий". Эта история полна таких персонажей.
Скриншот, который вы увидите в конце поста, мы сделали некоторое время назад в недрах сайта одного крупного онлайн-ритейлера (простите, это PHP). Смысл кода в следующем: из базы данных выбирается поле "title", вопреки названию, содержащее url. Дальше происходит проверка, что посетитель на сайте впервые (не установлены cookie от сайта) и что он пришел из поисковой системы. И дальше — безусловный редирект по полученному ранее url.
Таким образом бывший разработчик сайта обеспечил себе небольшой гешефт: он подставлял url своего аккаунта в партнёрке CPA-сети. Ничего не подозревающий посетитель находил в поисковике, допустим, электрический чайник (а усилиями маркетологов нашего ритейлера, их чайники всегда были наверху выдачи), кликал по нему... И попадал на сайт другого магазина, но тоже на электрический чайник.
Поскольку особой лояльности бренду посетитель не испытывал, да и вообще не был расположен анализировать, каким образом вместо известного магазина "А" он попал на сайт не менее известного магазина "Б", он просто покупал то, что видел. А поскольку CPA-сеть платит партнёру за целевые действия, доход инсайдера был неплохим.
Внимательные читатели наверное заметили слово "бывший". Оказалось, что админы магазина заблокировали все возможные аккаунты разработчика, но совершенно не подумали о том, что он знает пароль от базы данных mysql, которая доступна снаружи через phpmyadmin. Думаем вы уже не очень удивитесь, когда мы скажем, что пароль был от логина root.
Можно сделать много выводов (кое-что мы напишем в следующих постах), но главный: далеко не все люди, с которыми вы работаете, пьёте пиво и ходите на фитнес — хорошие. Киберпреступник — это не голливудский социопат в чёрном капюшоне и маске Гая Фокса, скрывающийся в заставленном ЭЛТ-мониторами подвале. Это такой же человек, как и вы. Возможно ваш администратор или разработчик.
Расследуя тот печальный инцидент, мы попытались посчитать, сколько вообще людей технически продолжает иметь доступ к серверам, не имея на то оснований.
Про mysql и phpmyadmin мы уже рассказали. Популярное решение — выставить эту замечательную во всех отношениях приблуду в интернет и дать внешнему подрядчику пароль от root. Многие подрядчики на фрилансерских сайтах даже отказываются работать, если нет phpmyadmin. А вот пароль в такой инфраструктуре после смены подрядчика или увольнения сотрудника обычно стараются не менять, потому, что придётся его поменять в десятках конфигов и где-то обязательно забудут и что-то сломается. Этот риск считают более существенным, чем риск злонамеренных действий.
Пойдя дальше мы выяснили, что многие бывшие администраторы продолжают иметь доступ к серверу: их логины отключены, но в /root/.ssh продолжают лежать их ключи. Доступ к ssh под root теоретически табуирован, но встречается сплошь и рядом: каждый первый хостер, разворачивая виртуалку, даст вам root со сложным паролем и никак не проследит, что дальше вы перейдёте на персональные логины. Не думаю, что удивим вас новостью, что есть гигантские инфраструктуры, которые так живут годами.
Итого, делать с интернет-магазином всё, что душе заблагорассудится могли несколько весьма квалифицированных админов, которые не имели злых намерений, просто не удосужились подчистить за собой (кстати, у нас есть специальный однострочник для поиска ключей ssh на линуксовых серверах). А ещё все нынешние и бывшие разработчики, у которых оставался код сайта, а в нём — пароли от mysql. Один из таких подрядчиков, как мы видим, своей возможности не упустил.
Если вы думаете, что этот пост был чем-то вроде рассказов про ИТ-идиотов из Daily WTF, то нет. Просто про компанию, у которой не было хоть какого-то системного процесса по выдаче и изъятию доступов. Таких компаний — каждая вторая, возможно и ваша тоже, просто вы ещё не разобрались.
В следующем посте вернёмся к нашему злоумышленнику и расскажем, как пришлось повозиться, чтобы найти закладку.
Про mysql и phpmyadmin мы уже рассказали. Популярное решение — выставить эту замечательную во всех отношениях приблуду в интернет и дать внешнему подрядчику пароль от root. Многие подрядчики на фрилансерских сайтах даже отказываются работать, если нет phpmyadmin. А вот пароль в такой инфраструктуре после смены подрядчика или увольнения сотрудника обычно стараются не менять, потому, что придётся его поменять в десятках конфигов и где-то обязательно забудут и что-то сломается. Этот риск считают более существенным, чем риск злонамеренных действий.
Пойдя дальше мы выяснили, что многие бывшие администраторы продолжают иметь доступ к серверу: их логины отключены, но в /root/.ssh продолжают лежать их ключи. Доступ к ssh под root теоретически табуирован, но встречается сплошь и рядом: каждый первый хостер, разворачивая виртуалку, даст вам root со сложным паролем и никак не проследит, что дальше вы перейдёте на персональные логины. Не думаю, что удивим вас новостью, что есть гигантские инфраструктуры, которые так живут годами.
Итого, делать с интернет-магазином всё, что душе заблагорассудится могли несколько весьма квалифицированных админов, которые не имели злых намерений, просто не удосужились подчистить за собой (кстати, у нас есть специальный однострочник для поиска ключей ssh на линуксовых серверах). А ещё все нынешние и бывшие разработчики, у которых оставался код сайта, а в нём — пароли от mysql. Один из таких подрядчиков, как мы видим, своей возможности не упустил.
Если вы думаете, что этот пост был чем-то вроде рассказов про ИТ-идиотов из Daily WTF, то нет. Просто про компанию, у которой не было хоть какого-то системного процесса по выдаче и изъятию доступов. Таких компаний — каждая вторая, возможно и ваша тоже, просто вы ещё не разобрались.
В следующем посте вернёмся к нашему злоумышленнику и расскажем, как пришлось повозиться, чтобы найти закладку.
Telegram
Cybersecgame
С днём информационной безопасности, ребят.
Наш проект про то, чтобы объяснить людям, работающим в корпоративной среде правила безопасного поведения.
Но некоторым, увы, ничего объяснять не надо — они всё прекрасно понимают и поступают либо по злому умыслу…
Наш проект про то, чтобы объяснить людям, работающим в корпоративной среде правила безопасного поведения.
Но некоторым, увы, ничего объяснять не надо — они всё прекрасно понимают и поступают либо по злому умыслу…
Раз уж начали про инцидент с разработчиками, нельзя не упомянуть, как его расследовали. Любое расследование — это кропотливый сбор и анализ большого количества информации. Иногда это огромные массивы, иногда - довольно скромные, как в нашем случае. Так или иначе, чтобы добраться до злоумышленника, пришлось повозиться.
Итак, бывший разработчик, имевший доступ к коду интернет-магазина внедряет закладку, которая перенаправляет пользователей на партнёрку рекламной сети, а оттуда на другие интернет-магазины.
По большому счёту, обнаружили проблему почти сразу - по просадке трафика из поисковых систем, но, поскольку, причины у такой просадки могут быть самые разные, ничего не предприняли.
Следующую аномалию заметил менеджер магазина: в своей священной борьбе с Роскомнадзором он использовал некий софт с VPN, помимо всего прочего, вырезающий ему из запросов куки и устанавливающий произвольное поле "referrer". Этих двух условий оказалось достаточно, чтобы заходя в собственный магазин он внезапно попадал в другие.
Поначалу решение проблемы возложили на админа сайта. Он даже нашел какие-то подозрительные файлики и... просто удалил их, лишив возможности в дальнейшем выяснить имеют они отношение к делу или нет: бэкап в этой инфраструктуре тоже был не частым гостем (но был!)
Поскольку проблема не исчезала, мы начали с менеджера и его браузера. Логи (о, это было сложно — VPN-же, каждый раз новый IP) показали, что сайт отвечает ему с кодом 302. Отлично, значит надо поискать в CMS строчку типа header("location:... Однако, CMS развесистая, php-файлов десятки, а локейшнов в них сотни.
В общем, не нашли ничего лучше, кроме как, скопировав всё в песочницу запускать index.php через php-cgi, подставляя разные переменные окружения, а сам php-cgi запускать в strace. Так и вышли на нужную строку.
Дальше оставалось убедиться, что больше нигде по коду нет обращений к той же самой таблице (её создали исключительно для того. чтобы держать там эту ссылку) и понять, как злоумышленник попадает в базу. Тут гипотеза с phpmyadmin сразу оказалась верной: логи были полны его IP-адресом, принадлежащим одной из сопредельных стран.
Вероятно у злоумышленника было мало времени, либо очень мало опыта. Несколько ограничив свою жадность рандомизацией редиректов (перенаправлять не всех, а каждого десятого), и чуть получше замаскировав закладку (как минимум, не вызывая перенаправление сразу, а сделав его где нибудь на уже выданной странице, через JS) он мог бы питаться трафиком из этого источника много лет, почти не привлекая к себе внимания.
Итак, бывший разработчик, имевший доступ к коду интернет-магазина внедряет закладку, которая перенаправляет пользователей на партнёрку рекламной сети, а оттуда на другие интернет-магазины.
По большому счёту, обнаружили проблему почти сразу - по просадке трафика из поисковых систем, но, поскольку, причины у такой просадки могут быть самые разные, ничего не предприняли.
Следующую аномалию заметил менеджер магазина: в своей священной борьбе с Роскомнадзором он использовал некий софт с VPN, помимо всего прочего, вырезающий ему из запросов куки и устанавливающий произвольное поле "referrer". Этих двух условий оказалось достаточно, чтобы заходя в собственный магазин он внезапно попадал в другие.
Поначалу решение проблемы возложили на админа сайта. Он даже нашел какие-то подозрительные файлики и... просто удалил их, лишив возможности в дальнейшем выяснить имеют они отношение к делу или нет: бэкап в этой инфраструктуре тоже был не частым гостем (но был!)
Поскольку проблема не исчезала, мы начали с менеджера и его браузера. Логи (о, это было сложно — VPN-же, каждый раз новый IP) показали, что сайт отвечает ему с кодом 302. Отлично, значит надо поискать в CMS строчку типа header("location:... Однако, CMS развесистая, php-файлов десятки, а локейшнов в них сотни.
В общем, не нашли ничего лучше, кроме как, скопировав всё в песочницу запускать index.php через php-cgi, подставляя разные переменные окружения, а сам php-cgi запускать в strace. Так и вышли на нужную строку.
Дальше оставалось убедиться, что больше нигде по коду нет обращений к той же самой таблице (её создали исключительно для того. чтобы держать там эту ссылку) и понять, как злоумышленник попадает в базу. Тут гипотеза с phpmyadmin сразу оказалась верной: логи были полны его IP-адресом, принадлежащим одной из сопредельных стран.
Вероятно у злоумышленника было мало времени, либо очень мало опыта. Несколько ограничив свою жадность рандомизацией редиректов (перенаправлять не всех, а каждого десятого), и чуть получше замаскировав закладку (как минимум, не вызывая перенаправление сразу, а сделав его где нибудь на уже выданной странице, через JS) он мог бы питаться трафиком из этого источника много лет, почти не привлекая к себе внимания.
Большие зимние и летние праздники, вроде Нового года, к нам пришли из далёкого прошлого, когда работа у большинства населения была строго сезонной: закончили вкалывать в поте лица на посевной - отметили. Закончили убирать урожай - отметили.
Сейчас всё наоборот: десятидневные праздники идут вразрез с любыми бизнес-процессами. Хотя они и мотивируют финишировать проекты, но это не всегда удобно, не всегда возможно. Это скорее не "праздник завершения проекта", а "праздник вынужденной остановки проекта".
А главное, что эти огромные выходные крайне расслабляют всех, кто находится в привязанной к ним корпоративной среде, в том числе и тех, кто должен обнаруживать вторжения (не только кибернетические). Это, в отличие от злоумышленников, которые сами решают отмечать им или работать на праздники. Ну и если в вашей модели угроз фигурируют израильские или иранские спецслужбы, напоминаем, что у них новый год отмечают в сентябре (Израиль) и марте (Иран). Зато в эти дни в обеих странах тоже довольно тяжело найти, кто-то работающего.
Короче, если вы хотите развлечь себя в начале января, посмотрите, кто там, будучи уверен, что дома никого нет, ломится в вашу инфраструктуру. Скучно не будет.
С новым годом!
Сейчас всё наоборот: десятидневные праздники идут вразрез с любыми бизнес-процессами. Хотя они и мотивируют финишировать проекты, но это не всегда удобно, не всегда возможно. Это скорее не "праздник завершения проекта", а "праздник вынужденной остановки проекта".
А главное, что эти огромные выходные крайне расслабляют всех, кто находится в привязанной к ним корпоративной среде, в том числе и тех, кто должен обнаруживать вторжения (не только кибернетические). Это, в отличие от злоумышленников, которые сами решают отмечать им или работать на праздники. Ну и если в вашей модели угроз фигурируют израильские или иранские спецслужбы, напоминаем, что у них новый год отмечают в сентябре (Израиль) и марте (Иран). Зато в эти дни в обеих странах тоже довольно тяжело найти, кто-то работающего.
Короче, если вы хотите развлечь себя в начале января, посмотрите, кто там, будучи уверен, что дома никого нет, ломится в вашу инфраструктуру. Скучно не будет.
С новым годом!
Кстати, о праздниках. Забавно, как каждую секунду меняется мир вокруг нас. Поскольку это происходит постепенно, то есть ощущение, что ничего, вроде, и не происходит .
А если оглянуться и внимательно посмотреть, то, чем мы с вами занимаемся и о чём пишем — ещё двадцать лет назад было сюжетом для научной фантастики. Собственно, из необходимых условий киберпанк-жанра остались только нейроимпланты. Хотя подождите...
С Днём научной фантастики!
А если оглянуться и внимательно посмотреть, то, чем мы с вами занимаемся и о чём пишем — ещё двадцать лет назад было сюжетом для научной фантастики. Собственно, из необходимых условий киберпанк-жанра остались только нейроимпланты. Хотя подождите...
С Днём научной фантастики!