Расследуя тот печальный инцидент, мы попытались посчитать, сколько вообще людей технически продолжает иметь доступ к серверам, не имея на то оснований.
Про mysql и phpmyadmin мы уже рассказали. Популярное решение — выставить эту замечательную во всех отношениях приблуду в интернет и дать внешнему подрядчику пароль от root. Многие подрядчики на фрилансерских сайтах даже отказываются работать, если нет phpmyadmin. А вот пароль в такой инфраструктуре после смены подрядчика или увольнения сотрудника обычно стараются не менять, потому, что придётся его поменять в десятках конфигов и где-то обязательно забудут и что-то сломается. Этот риск считают более существенным, чем риск злонамеренных действий.
Пойдя дальше мы выяснили, что многие бывшие администраторы продолжают иметь доступ к серверу: их логины отключены, но в /root/.ssh продолжают лежать их ключи. Доступ к ssh под root теоретически табуирован, но встречается сплошь и рядом: каждый первый хостер, разворачивая виртуалку, даст вам root со сложным паролем и никак не проследит, что дальше вы перейдёте на персональные логины. Не думаю, что удивим вас новостью, что есть гигантские инфраструктуры, которые так живут годами.
Итого, делать с интернет-магазином всё, что душе заблагорассудится могли несколько весьма квалифицированных админов, которые не имели злых намерений, просто не удосужились подчистить за собой (кстати, у нас есть специальный однострочник для поиска ключей ssh на линуксовых серверах). А ещё все нынешние и бывшие разработчики, у которых оставался код сайта, а в нём — пароли от mysql. Один из таких подрядчиков, как мы видим, своей возможности не упустил.
Если вы думаете, что этот пост был чем-то вроде рассказов про ИТ-идиотов из Daily WTF, то нет. Просто про компанию, у которой не было хоть какого-то системного процесса по выдаче и изъятию доступов. Таких компаний — каждая вторая, возможно и ваша тоже, просто вы ещё не разобрались.
В следующем посте вернёмся к нашему злоумышленнику и расскажем, как пришлось повозиться, чтобы найти закладку.
Про mysql и phpmyadmin мы уже рассказали. Популярное решение — выставить эту замечательную во всех отношениях приблуду в интернет и дать внешнему подрядчику пароль от root. Многие подрядчики на фрилансерских сайтах даже отказываются работать, если нет phpmyadmin. А вот пароль в такой инфраструктуре после смены подрядчика или увольнения сотрудника обычно стараются не менять, потому, что придётся его поменять в десятках конфигов и где-то обязательно забудут и что-то сломается. Этот риск считают более существенным, чем риск злонамеренных действий.
Пойдя дальше мы выяснили, что многие бывшие администраторы продолжают иметь доступ к серверу: их логины отключены, но в /root/.ssh продолжают лежать их ключи. Доступ к ssh под root теоретически табуирован, но встречается сплошь и рядом: каждый первый хостер, разворачивая виртуалку, даст вам root со сложным паролем и никак не проследит, что дальше вы перейдёте на персональные логины. Не думаю, что удивим вас новостью, что есть гигантские инфраструктуры, которые так живут годами.
Итого, делать с интернет-магазином всё, что душе заблагорассудится могли несколько весьма квалифицированных админов, которые не имели злых намерений, просто не удосужились подчистить за собой (кстати, у нас есть специальный однострочник для поиска ключей ssh на линуксовых серверах). А ещё все нынешние и бывшие разработчики, у которых оставался код сайта, а в нём — пароли от mysql. Один из таких подрядчиков, как мы видим, своей возможности не упустил.
Если вы думаете, что этот пост был чем-то вроде рассказов про ИТ-идиотов из Daily WTF, то нет. Просто про компанию, у которой не было хоть какого-то системного процесса по выдаче и изъятию доступов. Таких компаний — каждая вторая, возможно и ваша тоже, просто вы ещё не разобрались.
В следующем посте вернёмся к нашему злоумышленнику и расскажем, как пришлось повозиться, чтобы найти закладку.
Telegram
Cybersecgame
С днём информационной безопасности, ребят.
Наш проект про то, чтобы объяснить людям, работающим в корпоративной среде правила безопасного поведения.
Но некоторым, увы, ничего объяснять не надо — они всё прекрасно понимают и поступают либо по злому умыслу…
Наш проект про то, чтобы объяснить людям, работающим в корпоративной среде правила безопасного поведения.
Но некоторым, увы, ничего объяснять не надо — они всё прекрасно понимают и поступают либо по злому умыслу…
Раз уж начали про инцидент с разработчиками, нельзя не упомянуть, как его расследовали. Любое расследование — это кропотливый сбор и анализ большого количества информации. Иногда это огромные массивы, иногда - довольно скромные, как в нашем случае. Так или иначе, чтобы добраться до злоумышленника, пришлось повозиться.
Итак, бывший разработчик, имевший доступ к коду интернет-магазина внедряет закладку, которая перенаправляет пользователей на партнёрку рекламной сети, а оттуда на другие интернет-магазины.
По большому счёту, обнаружили проблему почти сразу - по просадке трафика из поисковых систем, но, поскольку, причины у такой просадки могут быть самые разные, ничего не предприняли.
Следующую аномалию заметил менеджер магазина: в своей священной борьбе с Роскомнадзором он использовал некий софт с VPN, помимо всего прочего, вырезающий ему из запросов куки и устанавливающий произвольное поле "referrer". Этих двух условий оказалось достаточно, чтобы заходя в собственный магазин он внезапно попадал в другие.
Поначалу решение проблемы возложили на админа сайта. Он даже нашел какие-то подозрительные файлики и... просто удалил их, лишив возможности в дальнейшем выяснить имеют они отношение к делу или нет: бэкап в этой инфраструктуре тоже был не частым гостем (но был!)
Поскольку проблема не исчезала, мы начали с менеджера и его браузера. Логи (о, это было сложно — VPN-же, каждый раз новый IP) показали, что сайт отвечает ему с кодом 302. Отлично, значит надо поискать в CMS строчку типа header("location:... Однако, CMS развесистая, php-файлов десятки, а локейшнов в них сотни.
В общем, не нашли ничего лучше, кроме как, скопировав всё в песочницу запускать index.php через php-cgi, подставляя разные переменные окружения, а сам php-cgi запускать в strace. Так и вышли на нужную строку.
Дальше оставалось убедиться, что больше нигде по коду нет обращений к той же самой таблице (её создали исключительно для того. чтобы держать там эту ссылку) и понять, как злоумышленник попадает в базу. Тут гипотеза с phpmyadmin сразу оказалась верной: логи были полны его IP-адресом, принадлежащим одной из сопредельных стран.
Вероятно у злоумышленника было мало времени, либо очень мало опыта. Несколько ограничив свою жадность рандомизацией редиректов (перенаправлять не всех, а каждого десятого), и чуть получше замаскировав закладку (как минимум, не вызывая перенаправление сразу, а сделав его где нибудь на уже выданной странице, через JS) он мог бы питаться трафиком из этого источника много лет, почти не привлекая к себе внимания.
Итак, бывший разработчик, имевший доступ к коду интернет-магазина внедряет закладку, которая перенаправляет пользователей на партнёрку рекламной сети, а оттуда на другие интернет-магазины.
По большому счёту, обнаружили проблему почти сразу - по просадке трафика из поисковых систем, но, поскольку, причины у такой просадки могут быть самые разные, ничего не предприняли.
Следующую аномалию заметил менеджер магазина: в своей священной борьбе с Роскомнадзором он использовал некий софт с VPN, помимо всего прочего, вырезающий ему из запросов куки и устанавливающий произвольное поле "referrer". Этих двух условий оказалось достаточно, чтобы заходя в собственный магазин он внезапно попадал в другие.
Поначалу решение проблемы возложили на админа сайта. Он даже нашел какие-то подозрительные файлики и... просто удалил их, лишив возможности в дальнейшем выяснить имеют они отношение к делу или нет: бэкап в этой инфраструктуре тоже был не частым гостем (но был!)
Поскольку проблема не исчезала, мы начали с менеджера и его браузера. Логи (о, это было сложно — VPN-же, каждый раз новый IP) показали, что сайт отвечает ему с кодом 302. Отлично, значит надо поискать в CMS строчку типа header("location:... Однако, CMS развесистая, php-файлов десятки, а локейшнов в них сотни.
В общем, не нашли ничего лучше, кроме как, скопировав всё в песочницу запускать index.php через php-cgi, подставляя разные переменные окружения, а сам php-cgi запускать в strace. Так и вышли на нужную строку.
Дальше оставалось убедиться, что больше нигде по коду нет обращений к той же самой таблице (её создали исключительно для того. чтобы держать там эту ссылку) и понять, как злоумышленник попадает в базу. Тут гипотеза с phpmyadmin сразу оказалась верной: логи были полны его IP-адресом, принадлежащим одной из сопредельных стран.
Вероятно у злоумышленника было мало времени, либо очень мало опыта. Несколько ограничив свою жадность рандомизацией редиректов (перенаправлять не всех, а каждого десятого), и чуть получше замаскировав закладку (как минимум, не вызывая перенаправление сразу, а сделав его где нибудь на уже выданной странице, через JS) он мог бы питаться трафиком из этого источника много лет, почти не привлекая к себе внимания.
Большие зимние и летние праздники, вроде Нового года, к нам пришли из далёкого прошлого, когда работа у большинства населения была строго сезонной: закончили вкалывать в поте лица на посевной - отметили. Закончили убирать урожай - отметили.
Сейчас всё наоборот: десятидневные праздники идут вразрез с любыми бизнес-процессами. Хотя они и мотивируют финишировать проекты, но это не всегда удобно, не всегда возможно. Это скорее не "праздник завершения проекта", а "праздник вынужденной остановки проекта".
А главное, что эти огромные выходные крайне расслабляют всех, кто находится в привязанной к ним корпоративной среде, в том числе и тех, кто должен обнаруживать вторжения (не только кибернетические). Это, в отличие от злоумышленников, которые сами решают отмечать им или работать на праздники. Ну и если в вашей модели угроз фигурируют израильские или иранские спецслужбы, напоминаем, что у них новый год отмечают в сентябре (Израиль) и марте (Иран). Зато в эти дни в обеих странах тоже довольно тяжело найти, кто-то работающего.
Короче, если вы хотите развлечь себя в начале января, посмотрите, кто там, будучи уверен, что дома никого нет, ломится в вашу инфраструктуру. Скучно не будет.
С новым годом!
Сейчас всё наоборот: десятидневные праздники идут вразрез с любыми бизнес-процессами. Хотя они и мотивируют финишировать проекты, но это не всегда удобно, не всегда возможно. Это скорее не "праздник завершения проекта", а "праздник вынужденной остановки проекта".
А главное, что эти огромные выходные крайне расслабляют всех, кто находится в привязанной к ним корпоративной среде, в том числе и тех, кто должен обнаруживать вторжения (не только кибернетические). Это, в отличие от злоумышленников, которые сами решают отмечать им или работать на праздники. Ну и если в вашей модели угроз фигурируют израильские или иранские спецслужбы, напоминаем, что у них новый год отмечают в сентябре (Израиль) и марте (Иран). Зато в эти дни в обеих странах тоже довольно тяжело найти, кто-то работающего.
Короче, если вы хотите развлечь себя в начале января, посмотрите, кто там, будучи уверен, что дома никого нет, ломится в вашу инфраструктуру. Скучно не будет.
С новым годом!
Кстати, о праздниках. Забавно, как каждую секунду меняется мир вокруг нас. Поскольку это происходит постепенно, то есть ощущение, что ничего, вроде, и не происходит .
А если оглянуться и внимательно посмотреть, то, чем мы с вами занимаемся и о чём пишем — ещё двадцать лет назад было сюжетом для научной фантастики. Собственно, из необходимых условий киберпанк-жанра остались только нейроимпланты. Хотя подождите...
С Днём научной фантастики!
А если оглянуться и внимательно посмотреть, то, чем мы с вами занимаемся и о чём пишем — ещё двадцать лет назад было сюжетом для научной фантастики. Собственно, из необходимых условий киберпанк-жанра остались только нейроимпланты. Хотя подождите...
С Днём научной фантастики!
Cybersecgame
Большие зимние и летние праздники, вроде Нового года, к нам пришли из далёкого прошлого, когда работа у большинства населения была строго сезонной: закончили вкалывать в поте лица на посевной - отметили. Закончили убирать урожай - отметили. Сейчас всё наоборот:…
А ещё праздники крайне опасны для SSL на государственных сайтах.
Сегодняшний пресс-релиз ФСБ об операции против Revil всеми, кто следит за тонкостями международной киберполитики ожидался давно. Теперь все с нетерпением ждут информации о том, кто же эти ребята.
В Москве, как подсказывает нам сайт Мосгорсуда, из задержанных проживал только некий Муромский Р.Г.
Если кому не лень поискать остальных на сайтах региональных судов (общефедеральные поисковики не ищут по постановлениям об избрании меры пресечения), ключевые пункты: статья 187 ч. 2 и сегодняшнее-вчерашнее число.
В Москве, как подсказывает нам сайт Мосгорсуда, из задержанных проживал только некий Муромский Р.Г.
Если кому не лень поискать остальных на сайтах региональных судов (общефедеральные поисковики не ищут по постановлениям об избрании меры пресечения), ключевые пункты: статья 187 ч. 2 и сегодняшнее-вчерашнее число.
Агентство по кибербезопасности, АНБ и ФБР выпустили очередной совместный фиговый боевой листок, посвящённый борьбе с русскими государственными хакерами. С точки зрения людей, следящих за этим бесконечным сериалом, листок настолько скучен, что даже колеги @true_secator, обычно делающие стойку на любой документ, содержащий TTP (тактики, техники и процедуры) начисто его проигнорировали.
Там действительно есть TTP и даже в нотации MITRE ATT&CK, но, как и в прошлые разы ничего такого, что позволило бы атрибутировать именно русских государственных хакеров и отличить их от китайских, корейских, американских же, или вообще, представителей... Эм... Частного бизнеса.
Если бы такое руководство выпустил Пентагон, там было бы написано примерно так: "русские военные используют танки, колёсную бронетехнику, реактивные самолёты. Тактики русских включают наступление и оборону и обхват с флангов".
Но. Если убрать из документа разбросанных в произвольном порядке "спонсируемых русским государством" хакеров, то получится добротное руководство начального уровня по обеспечению безопасности. Можно распечатывать и начинать с него строить ИБ компании.
Поэтому мы для вас перевели ту часть этого руководства, в которой имеются советы по существу. И настоятельно рекомендуем к исполнению.
Там действительно есть TTP и даже в нотации MITRE ATT&CK, но, как и в прошлые разы ничего такого, что позволило бы атрибутировать именно русских государственных хакеров и отличить их от китайских, корейских, американских же, или вообще, представителей... Эм... Частного бизнеса.
Если бы такое руководство выпустил Пентагон, там было бы написано примерно так: "русские военные используют танки, колёсную бронетехнику, реактивные самолёты. Тактики русских включают наступление и оборону и обхват с флангов".
Но. Если убрать из документа разбросанных в произвольном порядке "спонсируемых русским государством" хакеров, то получится добротное руководство начального уровня по обеспечению безопасности. Можно распечатывать и начинать с него строить ИБ компании.
Поэтому мы для вас перевели ту часть этого руководства, в которой имеются советы по существу. И настоятельно рекомендуем к исполнению.
Telegraph
Alert A22-011A
Это частичный перевод документа Alert (AA22-011A) Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure от 11 января 2022 года. При переводе из документа изъяты разбросанные по тексту в произвольных местах "russian…
Наблюдали сегодня атаки (довольно масштабные) на эту уязвимость. От коллег слышали, что у ряда операторов атаки увенчались успехом и за восстановлением сброшенного конфига оборудования пришлось ехать к оборудованию ногами.
Хотим лишний раз напомнить о том, что открывать на инфраструктурном оборудовании управляющие протоколы всему интернету — довольно опасно. Более того, их нельзя открывать и внутрь сети. Доступ к ним должны иметь отдельные ip-адреса, которым это действительно нужно.
Про своевременное обновление и несловарные пароли и напоминать не будем
Хотим лишний раз напомнить о том, что открывать на инфраструктурном оборудовании управляющие протоколы всему интернету — довольно опасно. Более того, их нельзя открывать и внутрь сети. Доступ к ним должны иметь отдельные ip-адреса, которым это действительно нужно.
Про своевременное обновление и несловарные пароли и напоминать не будем
Forwarded from Пост Лукацкого
НКЦКИ сегодня опубликовала бюллетень об уязвимостях «нулевого дня» в оборудовании Cisco. Хотелось бы отметить, что:
👉 речь идет не обо всем оборудовании, а только о том, которое работает на базе операционных систем IOS и IOS XE и использует уязвимую подсистему работы с протоколом SNMP,
👉 для эксплуатации уязвимости необходимо обладать аутентификационной информацией для работы с SNMP,
👉 в бюллетене говорится об уязвимости "нулевого дня", в то время как Cisco опубликовала свой бюллетень об этой уязвимости еще в 2017-м году (в 2019-м году обновила в последний раз).
Патч для устранения этой уязвимости был выпущен Cisco пять лет назад, а остальные рекомендации по усилению защиты сетевого оборудования Cisco я давал ранее.
👉 речь идет не обо всем оборудовании, а только о том, которое работает на базе операционных систем IOS и IOS XE и использует уязвимую подсистему работы с протоколом SNMP,
👉 для эксплуатации уязвимости необходимо обладать аутентификационной информацией для работы с SNMP,
👉 в бюллетене говорится об уязвимости "нулевого дня", в то время как Cisco опубликовала свой бюллетень об этой уязвимости еще в 2017-м году (в 2019-м году обновила в последний раз).
Патч для устранения этой уязвимости был выпущен Cisco пять лет назад, а остальные рекомендации по усилению защиты сетевого оборудования Cisco я давал ранее.
Cisco
Cisco Security Advisory: SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE Software
The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE Software contains multiple vulnerabilities that could allow an authenticated, remote attacker to remotely execute code on an affected system or cause an affected system to reload.…
Нечто странное на стыке кибернетической и физической безопасности произошло вчера во Франции.
В ночь на 27 апреля, какой-то диверсант (или группа диверсантов) применила популярный в среде тестировщиков физической безопасности инструмент (полагаем, что болторез) к магистральным оптоволоконным кабелям, соединяющим Париж с французским регионом Бургундия—Франш-Конте (в рассылке FRench Network Operators Group поначалу даже написали, что регион полностью отрезан).
Два пострадавших кабеля принадлежали оператору Netalis (их перерезали в 03:20 и 03:40) и ещё один — "иностранному оператору", его перерезали в 05:40.
Все три кабеля перерезаны в кроссовых колодцах (см. иллюстрацию), что наводит на мысли о человеке, хорошо знакомом с местами и технологией их прокладки, а так же с конструкцией запорных устройств, элементы которых просматриваются на фотографиях. Возможно это был сотрудник одного из операторов или, например, подрядчик обслуживающий эту оптику.
Ещё интересна география повреждений. Называют три населённых пункта: Souppes-sur-Loing, Le Coudray-Montceaux и Fresnes-en-Woëvre. И если между двумя первыми точками около 50 километров, то третья отстоит от каждого из них больше, чем на 250.
То есть, если всем этим занимался один человек, он должен был перемещаться, вскрывать и резать довольно быстро. А если действовала группа, то интересно, каковы же цели: особого ущерба диверсия не нанесла, связность была восстановлена сравнительно быстро, а полное устранение повреждений заняло 11 часов.
Весна? Политическая борьба?
Другие кадры повреждений есть тут.
В ночь на 27 апреля, какой-то диверсант (или группа диверсантов) применила популярный в среде тестировщиков физической безопасности инструмент (полагаем, что болторез) к магистральным оптоволоконным кабелям, соединяющим Париж с французским регионом Бургундия—Франш-Конте (в рассылке FRench Network Operators Group поначалу даже написали, что регион полностью отрезан).
Два пострадавших кабеля принадлежали оператору Netalis (их перерезали в 03:20 и 03:40) и ещё один — "иностранному оператору", его перерезали в 05:40.
Все три кабеля перерезаны в кроссовых колодцах (см. иллюстрацию), что наводит на мысли о человеке, хорошо знакомом с местами и технологией их прокладки, а так же с конструкцией запорных устройств, элементы которых просматриваются на фотографиях. Возможно это был сотрудник одного из операторов или, например, подрядчик обслуживающий эту оптику.
Ещё интересна география повреждений. Называют три населённых пункта: Souppes-sur-Loing, Le Coudray-Montceaux и Fresnes-en-Woëvre. И если между двумя первыми точками около 50 километров, то третья отстоит от каждого из них больше, чем на 250.
То есть, если всем этим занимался один человек, он должен был перемещаться, вскрывать и резать довольно быстро. А если действовала группа, то интересно, каковы же цели: особого ущерба диверсия не нанесла, связность была восстановлена сравнительно быстро, а полное устранение повреждений заняло 11 часов.
Весна? Политическая борьба?
Другие кадры повреждений есть тут.
Не заметили - или проявили вежливость? Вчера утром в нашем канале появилось необычное сообщение. Честно - необычное. И реакции не было (почти). Мы чот удивлены.
А времена между тем… более интересные, чем раньше.
И случится может разное. Например вот, начало марта, авторы канала обмениваются скриншотами: «Ты тоже это видишь? У меня в ленте 2/3 каналов взломаны! - У меня меньше, но тоже дофига!»
Идеальный взлом - все пользовались ботом, изначально имевшим доступ к постингу в каналы для того, чтобы помогать администраторам писать отложенные сообщения. Удобная же штука, а кто её сделал, знать необязательно. Как необязательно знать, кто делает Google Docs, Azure, AWS и т.п.
Ещё вчера - мы считали, что кто-то неизвестный, предоставляя нам услугу (часто - бесплатно), не имеет на нашу информацию корыстных видов. Корпорации добра, вот это всё.
Но времена, похоже, изменились и пора думать над тем, чтобы переносить в контролируемую зону всё больше сервисов. Дорого, неудобно, больно, зато никто другой не запостит в ваш канал гифку. Только вы сами — незаблокированным телефоном в кармане.
Кстати, вчера именно так и произошло.
А времена между тем… более интересные, чем раньше.
И случится может разное. Например вот, начало марта, авторы канала обмениваются скриншотами: «Ты тоже это видишь? У меня в ленте 2/3 каналов взломаны! - У меня меньше, но тоже дофига!»
Идеальный взлом - все пользовались ботом, изначально имевшим доступ к постингу в каналы для того, чтобы помогать администраторам писать отложенные сообщения. Удобная же штука, а кто её сделал, знать необязательно. Как необязательно знать, кто делает Google Docs, Azure, AWS и т.п.
Ещё вчера - мы считали, что кто-то неизвестный, предоставляя нам услугу (часто - бесплатно), не имеет на нашу информацию корыстных видов. Корпорации добра, вот это всё.
Но времена, похоже, изменились и пора думать над тем, чтобы переносить в контролируемую зону всё больше сервисов. Дорого, неудобно, больно, зато никто другой не запостит в ваш канал гифку. Только вы сами — незаблокированным телефоном в кармане.
Кстати, вчера именно так и произошло.
Тем временем, бывший сотрудник ЦРУ Джошуа Шульте признан виновным в самой крупной (пока) утечке киберинструментов ЦРУ, известной, как Vault7.
Напомним, что в этой истории есть две плоскости — личностная и организационная.
Личностная — это ссора между самим Шульте и оппонентом, проходившим на суде, как Амол, с которым они обменялись оскорблениями, касающимися внешнего вида (Шульте — лысый, а оппонент — жирный), что, судя по заявлению прокурора и стало причиной затаённой обиды Шульте на организацию.
Организационная — это масштабные проблемы с защитой собственной информации, описанные в этом отчёте. Все сотрудники подразделения "специальных информационных операций" имели административные доступы ко всей внутренней инфраструктуре. Если кто-то потерял свой пароль, во внутреннем чате можно было найти пароль от root (на процессе выяснилось, что пароль от рута на виртуалке с Confluence, которую и скачал себе Шульте — 123ABCdef, а от контроллера домена сети DEVLan — mysweetsummer). Вменяемого логирования там тоже не было, как и мониторинга, поэтому об утечке там узнали спустя год из публикации на Wikileaks. Да и доказать причастность самого Шульте, хотя подозревали его с самого начала, удалось, насколько можно судить, довольно случайно.
Поясняя следователям ситуацию (отчёт), руководство подразделения заявило, что всегда стремилось к преобладанию "культуры творчества" над ограничительными мерами, даже минимально соответствующими статусу организации, где они все работали.
В финальном слове прокурора, если опустить словесную шелуху и характерный для американского правосудия пафос, можно найти довольно много интересных подробностей про "культуру творчества", например, как три администратора закрывали для Шульте доступы к серверам, но пропустили его ssh-ключ и т.п.
Так или иначе, "виновный" найден и будет примерно наказан, а допустившее "культуру творчества" руководство подразделения, судя по всему, дало исчерпывающие объяснения следствию и продолжит творить на тех же должностях.
Напомним, что в этой истории есть две плоскости — личностная и организационная.
Личностная — это ссора между самим Шульте и оппонентом, проходившим на суде, как Амол, с которым они обменялись оскорблениями, касающимися внешнего вида (Шульте — лысый, а оппонент — жирный), что, судя по заявлению прокурора и стало причиной затаённой обиды Шульте на организацию.
Организационная — это масштабные проблемы с защитой собственной информации, описанные в этом отчёте. Все сотрудники подразделения "специальных информационных операций" имели административные доступы ко всей внутренней инфраструктуре. Если кто-то потерял свой пароль, во внутреннем чате можно было найти пароль от root (на процессе выяснилось, что пароль от рута на виртуалке с Confluence, которую и скачал себе Шульте — 123ABCdef, а от контроллера домена сети DEVLan — mysweetsummer). Вменяемого логирования там тоже не было, как и мониторинга, поэтому об утечке там узнали спустя год из публикации на Wikileaks. Да и доказать причастность самого Шульте, хотя подозревали его с самого начала, удалось, насколько можно судить, довольно случайно.
Поясняя следователям ситуацию (отчёт), руководство подразделения заявило, что всегда стремилось к преобладанию "культуры творчества" над ограничительными мерами, даже минимально соответствующими статусу организации, где они все работали.
В финальном слове прокурора, если опустить словесную шелуху и характерный для американского правосудия пафос, можно найти довольно много интересных подробностей про "культуру творчества", например, как три администратора закрывали для Шульте доступы к серверам, но пропустили его ssh-ключ и т.п.
Так или иначе, "виновный" найден и будет примерно наказан, а допустившее "культуру творчества" руководство подразделения, судя по всему, дало исчерпывающие объяснения следствию и продолжит творить на тех же должностях.
Наша демо-версия попала в некий каталог бесплатных курсов на хабре в раздел "тренажеры".
Во-первых, если вы её (демо-версию) ещё не видели, регистрация тут.
Во-вторых, напоминаем, что это только демо-версия того, что можно сделать для вашей организации, чтобы обучать персонал безопасному поведению.
Во-первых, если вы её (демо-версию) ещё не видели, регистрация тут.
Во-вторых, напоминаем, что это только демо-версия того, что можно сделать для вашей организации, чтобы обучать персонал безопасному поведению.
Когда-нибудь будет открыт Музей телефонного мошенничества, и на экскурсии академичный кибер-экскурсовод будет рассказывать что-то в духе: "Смотрите, дети, мы покажем вам всю эволюцию кибер-мошенников. Это один из законов нашей жизни: как только появляется некая техническая возможность, тут же появляются мошенники, которые хотят на этом паразитировать.
Как только появилась"служба безопасности Сбербанка" и возможность общаться с ней с мобильного, фейковая "служба безопасности" стала названивать доверчивым гражданам. Этот бизнес стал настолько популярным, что постепенно дискредитировал себя и само выражение "служба безопасности сбербанка" стало мемом. Но мошенников это не смущает. Они постоянно эволюционируют! Так стали появляться звонки от других банков, а когда на мобильных телефонах появились фильтры спам-звонков, они перешли в мессенджеры.
Надо отметить, что есть некая градация. Самые непрофессиональные социнженеры "работают" в "сбере", рангом повыше - в "втб", иногда попадаются и "специалисты" из альфы. Ну, понимаете, дети, в те далекие времена еще случались колоссальные утечки данных клиентов, поэтому не пользоваться этим было совершенно невозможно...
К счастью, в нашем прекрасном настоящем все данные настолько хорошо защищены, а сотрудники из плоти и крови давно отправлены в отставку и отправились после очередной смены тел на переквалификацию, такие ситуации кажутся дикостью..."
#заметкиизбудущего
Как только появилась"служба безопасности Сбербанка" и возможность общаться с ней с мобильного, фейковая "служба безопасности" стала названивать доверчивым гражданам. Этот бизнес стал настолько популярным, что постепенно дискредитировал себя и само выражение "служба безопасности сбербанка" стало мемом. Но мошенников это не смущает. Они постоянно эволюционируют! Так стали появляться звонки от других банков, а когда на мобильных телефонах появились фильтры спам-звонков, они перешли в мессенджеры.
Надо отметить, что есть некая градация. Самые непрофессиональные социнженеры "работают" в "сбере", рангом повыше - в "втб", иногда попадаются и "специалисты" из альфы. Ну, понимаете, дети, в те далекие времена еще случались колоссальные утечки данных клиентов, поэтому не пользоваться этим было совершенно невозможно...
К счастью, в нашем прекрасном настоящем все данные настолько хорошо защищены, а сотрудники из плоти и крови давно отправлены в отставку и отправились после очередной смены тел на переквалификацию, такие ситуации кажутся дикостью..."
#заметкиизбудущего
Друзья, а расскажите, какие у вас были кулстори со "службой безопасности"? Разговариваете ли вы с ними? Мы — да, а как иначе наблюдать эволюцию?
Последние пару дней наблюдаем волну угонов телеграм-аккаунтов, причём некоторые случаи выглядят поначалу целевой атакой на организации.
Впрочем, потом с угнанных аккаунтов начинают выпрашивать деньги и рассылать политические лозунги.
Удивительно то, что эта волна, как и несколько прошлых, реализована при помощи простенького сайта, якобы предлагающего проголосовать за вашего знакомого в каком-то неизвестном конкурсе. Казалось бы, на предложение ввести куда попало код авторизации от Телеграма не должны вестись уже даже самые далёкие от технологии люди... А вот — работает.
Вся бесхитростность этой атаки на скриншоте. Просто вводите присланный вам код через десять секунд. Ещё про эти интересные конкурсы можно почитать, например, здесь.
Впрочем, потом с угнанных аккаунтов начинают выпрашивать деньги и рассылать политические лозунги.
Удивительно то, что эта волна, как и несколько прошлых, реализована при помощи простенького сайта, якобы предлагающего проголосовать за вашего знакомого в каком-то неизвестном конкурсе. Казалось бы, на предложение ввести куда попало код авторизации от Телеграма не должны вестись уже даже самые далёкие от технологии люди... А вот — работает.
Вся бесхитростность этой атаки на скриншоте. Просто вводите присланный вам код через десять секунд. Ещё про эти интересные конкурсы можно почитать, например, здесь.