Как вы думаете, какой самый доступный способ добыть правдоподобную фотографию российского паспорта на произвольное имя?

Вот такой.

Кто бы мог подумать.

Кстати, нигерийские спамеры вовсю пользуются: ходят по телеграму якобы русские граждане с паспортами в качестве аватарок, и предлагают многомиллионное наследство лично тебе, добрый человек.

Следует поспешить, пока благодетель не скончался от заболевания, которое гуглопереводчик назвал "рак веры". Вероятно того самого, которое заставляет человека вестись на такое нехитрое мошенничество.

Друзья, а что должно быть на картинке в рекламе игр по информационной безопасности, что лично вас зацепит и заставит кликнуть? Счастливых корпоративных служащих со стоковых сайтов не предлагать.

Текст ниже стал для нас цитатой недели. Перечитываем, ищем смысл и наслаждаемся.

(Пророчества из киберпанк-романов - это всегда повод к размышлениям, особенно если они о сообществах людей, хоть и не самых обычных.)

Знаете, о чем речь?

1. Это движение уже нельзя контролировать, и, кажется, ясной мотивации в его рядах уже нет.
2. Лидеры движения начали прятать настоящие личности чуть более тщательно, - и все из-за произведенных арестов.
3. Привычка опираться во всем на технологии и станет их крахом.
4. Межличностные отношения - это слабое звено в их цепи, и усиливать их они не будут.
5. То, что их атаки все набирают силу, приведет к очень серьезным результатам, а на самом деле, - к настоящим смертям.

Надеемся, вы нас троллили, ну правда.

Конечно же, цитата - это не Филипп Дик, не Уильям Гибсон и даже не "Cyberpunk-2077". Тем не менее, это во многом киберпанк-роман.
Это - та-дааам! - дословный (отсюда странные формулировки) перевод одной из главных частей документа, выдаваемого за "Психологический портрет лидерской верхушки группы Anonymous" (Psychological Profiles of Anonymous Leadership, BSU Quantico, August 2011).

Весь "отчет", как и следует из названия, посвящен психологическим портретам лидеров означенной выше хакерской группировки. Некоторые из авторов канала придирчиво искали описание методики или хоть какие-то намеки на это, чтобы понять, как по логам из IRС и твиттера можно выяснить этническую принадлежность, профессию и поведенческие паттерны UNSUN (Unknown Subject, термин из отчета), но тщетно.

Перед нами несколько страниц общих слов на тему поведенческой психологии (привет, Дэвид Финчер и Mind hunters, и Квантико, собственно), туманных намеков, что по айпи по манере писать в IRC и твиттере можно составить психологический портрет субъекта, а потом - сами профили под кодовыми именами.

Документ несложно найти в интернете.

А теперь важное. "Отчету" 10 лет. И с момента публикации в мире произошли кое-какие изменения. Например, многие из "лидеров Anonymous" были вычислены и даже арестованы. Так что можно выполнить любимое всеми нами и вами действие: сравнить полученный ответ с ответами в конце учебника.

И знаете что?

Если этот отчет - реальный документ, а не фейк (а есть такое мнение, хотя на другой чаше весов — тяжелый американский канцелярит), то... гора родила мышь, а специалисты-бихейвиаристы попали пальцем в небо. В отчете приведены профайлы 4 лидеров (1,2, 3, 5, не спрашивайте), и НИ ОДИН не соответствует истине.

То есть если персонаж описан как белый образованый американец — IT-специалист и примерный семьянин, то в реальности это безработный пуэрториканец, в одиночку воспитывающий детей своей отбывающей наказание в тюрьме тёти...

Так или иначе, главная мысль в этом документе: дорогие анонимы всех мастей, анализируя ваши тексты и манеру поведения онлайн, вас можно вычислить.

Мысль с одной стороны не нова, психологические портреты рисуются криминалистами больше сотни лет, а с другой стороны, теперь вместо клочка бумаги с криво наклеенными газетными буквами у специалистов BSU (настоящих) и их коллег — мегабайты разной переписки. Казалось бы, бери, да деанонимизируй.

Но мы тут сошлись в мнении, что узнать знакомого по тексту можно, а вот деанонимизировать незнакомого ну такое - с риском красиво выступить с цыганочкой и табором, попадающим пальцем в небо...

Или нет?

К чему мы все это. Мы тоже решили провести подобное исследование. Группы Anonymous под рукой у нас нет, зато есть вы...

Добровольцы, желающие принять участие в эксперименте по деанонимизации через профайлинг, ну или посмеяться над тщетными попытками — напишите нам в бота. Добровольцы набрались.

Мы проведем с каждым интервью с одним и тем же набором вопросов, а потом опубликуем эти тексты (без указания, кто отвечал на вопросы, конечно). И посмотрим, какие выводы сделают участники нашего канала о вашей личности: национальности, месте проживания, профессии и т.п.

Го?

Мы обещали вам возможность поиграть в деанонимизацию и ФБР.

Во-первых, спасибо большое нашим добровольцам (их восемь), включившимся в наше кхм исследование . В течение недели они давали ответы на 13 вопросов, генерируя контент для анализа. Нам будет не хватать этого чатика. Это была веселая неделя!

Как и ФБР, вы можете увидеть эти вопросы в виде "простыни" (но с фильтрами, конечно же, если вы не любители больших литературных жанров). Вот тут: https://profiling.cybersecgames.ru

Вопросы были подобраны по определенным принципам и ответы на них должны (по нашей мысли) дать вам пищу для размышлений относительно возраста, профессии, пола и региона проживания наших добровольцев.

Во-вторых, у нас есть правильные ответы. Мы их сами тоже еще не видели. Каждый из добровольцев написал ответ на 4 вопроса относительно себя, а дальше зашифровал их. Ключи они сами пришлют в общий чат, когда вы выскажете догадки.

В-третьих, нам было бы крайне интересно получить от вас развернутые размышления на тему того, кто из наших анонимов кем является, но мы понимаем, что вселенная несовершенна, а значит, и количество энтузиастов от профайлинга будет крайне невелико. Чтобы вам было проще, мы сделали варианты ответов по каждому из анонимов.

Тыкайте в "простыне" в никнейм, там можно давать ответы.

Или в чате. Чтобы не загромождать комментарии мы сделали отдельный: @deanontalk

На работу с данными у вас двое суток. В 0:00 20 ноября объявим правильные ответы. И вот тогда эксперимент можно будет считать завершенным.

Итак, раз-два-три, играем!

И ждем в чате любителей поговорить о людях, деанонимизации через психолингвистику в эпоху, бгг, метавселенных, и вообще.

Итак, это завершающий пост из нашей короткой серии “деанонимизация и психолингвистика”. Он получился таким длинным, что большая его часть пошла в Телеграф.

Спасибо всем, кто принял участие в нашей движухе! Было весело. Но увы, пора подводить итоги.

Напомним: прочитав “отчет” (не обсуждаем еще раз его достоверность, просто ставим кавычки на всякий случай) ФБР в котором содержались психологические профили членов группировки Anonymous и сравнив результат с реальными людьми, мы подумали, что, имея в своем распоряжении только текстовые логи бесед в чатах и постов в твиттере, сложно составить профили авторов и не ошибиться.

Этот простой вывод натолкнул нас на мысль провести эксперимент

С днём информационной безопасности, ребят.

Наш проект про то, чтобы объяснить людям, работающим в корпоративной среде правила безопасного поведения.

Но некоторым, увы, ничего объяснять не надо — они всё прекрасно понимают и поступают либо по злому умыслу, либо исходя из "оптимизации усилий". Эта история полна таких персонажей.

Скриншот, который вы увидите в конце поста, мы сделали некоторое время назад в недрах сайта одного крупного онлайн-ритейлера (простите, это PHP). Смысл кода в следующем: из базы данных выбирается поле "title", вопреки названию, содержащее url. Дальше происходит проверка, что посетитель на сайте впервые (не установлены cookie от сайта) и что он пришел из поисковой системы. И дальше — безусловный редирект по полученному ранее url.

Таким образом бывший разработчик сайта обеспечил себе небольшой гешефт: он подставлял url своего аккаунта в партнёрке CPA-сети. Ничего не подозревающий посетитель находил в поисковике, допустим, электрический чайник (а усилиями маркетологов нашего ритейлера, их чайники всегда были наверху выдачи), кликал по нему... И попадал на сайт другого магазина, но тоже на электрический чайник.

Поскольку особой лояльности бренду посетитель не испытывал, да и вообще не был расположен анализировать, каким образом вместо известного магазина "А" он попал на сайт не менее известного магазина "Б", он просто покупал то, что видел. А поскольку CPA-сеть платит партнёру за целевые действия, доход инсайдера был неплохим.

Внимательные читатели наверное заметили слово "бывший". Оказалось, что админы магазина заблокировали все возможные аккаунты разработчика, но совершенно не подумали о том, что он знает пароль от базы данных mysql, которая доступна снаружи через phpmyadmin. Думаем вы уже не очень удивитесь, когда мы скажем, что пароль был от логина root.

Можно сделать много выводов (кое-что мы напишем в следующих постах), но главный: далеко не все люди, с которыми вы работаете, пьёте пиво и ходите на фитнес — хорошие. Киберпреступник — это не голливудский социопат в чёрном капюшоне и маске Гая Фокса, скрывающийся в заставленном ЭЛТ-мониторами подвале. Это такой же человек, как и вы. Возможно ваш администратор или разработчик.

Расследуя тот печальный инцидент, мы попытались посчитать, сколько вообще людей технически продолжает иметь доступ к серверам, не имея на то оснований.

Про mysql и phpmyadmin мы уже рассказали. Популярное решение — выставить эту замечательную во всех отношениях приблуду в интернет и дать внешнему подрядчику пароль от root. Многие подрядчики на фрилансерских сайтах даже отказываются работать, если нет phpmyadmin. А вот пароль в такой инфраструктуре после смены подрядчика или увольнения сотрудника обычно стараются не менять, потому, что придётся его поменять в десятках конфигов и где-то обязательно забудут и что-то сломается. Этот риск считают более существенным, чем риск злонамеренных действий.

Пойдя дальше мы выяснили, что многие бывшие администраторы продолжают иметь доступ к серверу: их логины отключены, но в /root/.ssh продолжают лежать их ключи. Доступ к ssh под root теоретически табуирован, но встречается сплошь и рядом: каждый первый хостер, разворачивая виртуалку, даст вам root со сложным паролем и никак не проследит, что дальше вы перейдёте на персональные логины. Не думаю, что удивим вас новостью, что есть гигантские инфраструктуры, которые так живут годами.

Итого, делать с интернет-магазином всё, что душе заблагорассудится могли несколько весьма квалифицированных админов, которые не имели злых намерений, просто не удосужились подчистить за собой (кстати, у нас есть специальный однострочник для поиска ключей ssh на линуксовых серверах). А ещё все нынешние и бывшие разработчики, у которых оставался код сайта, а в нём — пароли от mysql. Один из таких подрядчиков, как мы видим, своей возможности не упустил.

Если вы думаете, что этот пост был чем-то вроде рассказов про ИТ-идиотов из Daily WTF, то нет. Просто про компанию, у которой не было хоть какого-то системного процесса по выдаче и изъятию доступов. Таких компаний — каждая вторая, возможно и ваша тоже, просто вы ещё не разобрались.

В следующем посте вернёмся к нашему злоумышленнику и расскажем, как пришлось повозиться, чтобы найти закладку.

Раз уж начали про инцидент с разработчиками, нельзя не упомянуть, как его расследовали. Любое расследование — это кропотливый сбор и анализ большого количества информации. Иногда это огромные массивы, иногда - довольно скромные, как в нашем случае. Так или иначе, чтобы добраться до злоумышленника, пришлось повозиться.

Итак, бывший разработчик, имевший доступ к коду интернет-магазина внедряет закладку, которая перенаправляет пользователей на партнёрку рекламной сети, а оттуда на другие интернет-магазины.

По большому счёту, обнаружили проблему почти сразу - по просадке трафика из поисковых систем, но, поскольку, причины у такой просадки могут быть самые разные, ничего не предприняли.

Следующую аномалию заметил менеджер магазина: в своей священной борьбе с Роскомнадзором он использовал некий софт с VPN, помимо всего прочего, вырезающий ему из запросов куки и устанавливающий произвольное поле "referrer". Этих двух условий оказалось достаточно, чтобы заходя в собственный магазин он внезапно попадал в другие.

Поначалу решение проблемы возложили на админа сайта. Он даже нашел какие-то подозрительные файлики и... просто удалил их, лишив возможности в дальнейшем выяснить имеют они отношение к делу или нет: бэкап в этой инфраструктуре тоже был не частым гостем (но был!)

Поскольку проблема не исчезала, мы начали с менеджера и его браузера. Логи (о, это было сложно — VPN-же, каждый раз новый IP) показали, что сайт отвечает ему с кодом 302. Отлично, значит надо поискать в CMS строчку типа header("location:... Однако, CMS развесистая, php-файлов десятки, а локейшнов в них сотни.

В общем, не нашли ничего лучше, кроме как, скопировав всё в песочницу запускать index.php через php-cgi, подставляя разные переменные окружения, а сам php-cgi запускать в strace. Так и вышли на нужную строку.

Дальше оставалось убедиться, что больше нигде по коду нет обращений к той же самой таблице (её создали исключительно для того. чтобы держать там эту ссылку) и понять, как злоумышленник попадает в базу. Тут гипотеза с phpmyadmin сразу оказалась верной: логи были полны его IP-адресом, принадлежащим одной из сопредельных стран.

Вероятно у злоумышленника было мало времени, либо очень мало опыта. Несколько ограничив свою жадность рандомизацией редиректов (перенаправлять не всех, а каждого десятого), и чуть получше замаскировав закладку (как минимум, не вызывая перенаправление сразу, а сделав его где нибудь на уже выданной странице, через JS) он мог бы питаться трафиком из этого источника много лет, почти не привлекая к себе внимания.

Большие зимние и летние праздники, вроде Нового года, к нам пришли из далёкого прошлого, когда работа у большинства населения была строго сезонной: закончили вкалывать в поте лица на посевной - отметили. Закончили убирать урожай - отметили.

Сейчас всё наоборот: десятидневные праздники идут вразрез с любыми бизнес-процессами. Хотя они и мотивируют финишировать проекты, но это не всегда удобно, не всегда возможно. Это скорее не "праздник завершения проекта", а "праздник вынужденной остановки проекта".

А главное, что эти огромные выходные крайне расслабляют всех, кто находится в привязанной к ним корпоративной среде, в том числе и тех, кто должен обнаруживать вторжения (не только кибернетические). Это, в отличие от злоумышленников, которые сами решают отмечать им или работать на праздники. Ну и если в вашей модели угроз фигурируют израильские или иранские спецслужбы, напоминаем, что у них новый год отмечают в сентябре (Израиль) и марте (Иран). Зато в эти дни в обеих странах тоже довольно тяжело найти, кто-то работающего.

Короче, если вы хотите развлечь себя в начале января, посмотрите, кто там, будучи уверен, что дома никого нет, ломится в вашу инфраструктуру. Скучно не будет.

С новым годом!

Кстати, о праздниках. Забавно, как каждую секунду меняется мир вокруг нас. Поскольку это происходит постепенно, то есть ощущение, что ничего, вроде, и не происходит .
А если оглянуться и внимательно посмотреть, то, чем мы с вами занимаемся и о чём пишем — ещё двадцать лет назад было сюжетом для научной фантастики. Собственно, из необходимых условий киберпанк-жанра остались только нейроимпланты. Хотя подождите...

С Днём научной фантастики!

А ещё праздники крайне опасны для SSL на государственных сайтах.

Наклейки на мониторе.

Сверху: "обработка секретной информации запрещена".

Снизу: "при обнаружении ВПО (вирусов) звонить по телефону 1-53"

Сегодняшний пресс-релиз ФСБ об операции против Revil всеми, кто следит за тонкостями международной киберполитики ожидался давно. Теперь все с нетерпением ждут информации о том, кто же эти ребята.

В Москве, как подсказывает нам сайт Мосгорсуда, из задержанных проживал только некий Муромский Р.Г.

Если кому не лень поискать остальных на сайтах региональных судов (общефедеральные поисковики не ищут по постановлениям об избрании меры пресечения), ключевые пункты: статья 187 ч. 2 и сегодняшнее-вчерашнее число.

Агентство по кибербезопасности, АНБ и ФБР выпустили очередной совместный фиговый боевой листок, посвящённый борьбе с русскими государственными хакерами. С точки зрения людей, следящих за этим бесконечным сериалом, листок настолько скучен, что даже колеги @true_secator, обычно делающие стойку на любой документ, содержащий TTP (тактики, техники и процедуры) начисто его проигнорировали.

Там действительно есть TTP и даже в нотации MITRE ATT&CK, но, как и в прошлые разы ничего такого, что позволило бы атрибутировать именно русских государственных хакеров и отличить их от китайских, корейских, американских же, или вообще, представителей... Эм... Частного бизнеса.

Если бы такое руководство выпустил Пентагон, там было бы написано примерно так: "русские военные используют танки, колёсную бронетехнику, реактивные самолёты. Тактики русских включают наступление и оборону и обхват с флангов".

Но. Если убрать из документа разбросанных в произвольном порядке "спонсируемых русским государством" хакеров, то получится добротное руководство начального уровня по обеспечению безопасности. Можно распечатывать и начинать с него строить ИБ компании.

Поэтому мы для вас перевели ту часть этого руководства, в которой имеются советы по существу. И настоятельно рекомендуем к исполнению.

Наблюдали сегодня атаки (довольно масштабные) на эту уязвимость. От коллег слышали, что у ряда операторов атаки увенчались успехом и за восстановлением сброшенного конфига оборудования пришлось ехать к оборудованию ногами.

Хотим лишний раз напомнить о том, что открывать на инфраструктурном оборудовании управляющие протоколы всему интернету — довольно опасно. Более того, их нельзя открывать и внутрь сети. Доступ к ним должны иметь отдельные ip-адреса, которым это действительно нужно.

Про своевременное обновление и несловарные пароли и напоминать не будем

НКЦКИ сегодня опубликовала бюллетень об уязвимостях «нулевого дня» в оборудовании Cisco. Хотелось бы отметить, что:
👉 речь идет не обо всем оборудовании, а только о том, которое работает на базе операционных систем IOS и IOS XE и использует уязвимую подсистему работы с протоколом SNMP,
👉 для эксплуатации уязвимости необходимо обладать аутентификационной информацией для работы с SNMP,
👉 в бюллетене говорится об уязвимости "нулевого дня", в то время как Cisco опубликовала свой бюллетень об этой уязвимости еще в 2017-м году (в 2019-м году обновила в последний раз).

Патч для устранения этой уязвимости был выпущен Cisco пять лет назад, а остальные рекомендации по усилению защиты сетевого оборудования Cisco я давал ранее.

Нечто странное на стыке кибернетической и физической безопасности произошло вчера во Франции.

В ночь на 27 апреля, какой-то диверсант (или группа диверсантов) применила популярный в среде тестировщиков физической безопасности инструмент (полагаем, что болторез) к магистральным оптоволоконным кабелям, соединяющим Париж с французским регионом Бургундия—Франш-Конте (в рассылке FRench Network Operators Group поначалу даже написали, что регион полностью отрезан).

Два пострадавших кабеля принадлежали оператору Netalis (их перерезали в 03:20 и 03:40) и ещё один — "иностранному оператору", его перерезали в 05:40.

Все три кабеля перерезаны в кроссовых колодцах (см. иллюстрацию), что наводит на мысли о человеке, хорошо знакомом с местами и технологией их прокладки, а так же с конструкцией запорных устройств, элементы которых просматриваются на фотографиях. Возможно это был сотрудник одного из операторов или, например, подрядчик обслуживающий эту оптику.

Ещё интересна география повреждений. Называют три населённых пункта: Souppes-sur-Loing, Le Coudray-Montceaux и Fresnes-en-Woëvre. И если между двумя первыми точками около 50 километров, то третья отстоит от каждого из них больше, чем на 250.

То есть, если всем этим занимался один человек, он должен был перемещаться, вскрывать и резать довольно быстро. А если действовала группа, то интересно, каковы же цели: особого ущерба диверсия не нанесла, связность была восстановлена сравнительно быстро, а полное устранение повреждений заняло 11 часов.

Весна? Политическая борьба?

Другие кадры повреждений есть тут.