А ещё праздники крайне опасны для SSL на государственных сайтах.

Наклейки на мониторе.

Сверху: "обработка секретной информации запрещена".

Снизу: "при обнаружении ВПО (вирусов) звонить по телефону 1-53"

Сегодняшний пресс-релиз ФСБ об операции против Revil всеми, кто следит за тонкостями международной киберполитики ожидался давно. Теперь все с нетерпением ждут информации о том, кто же эти ребята.

В Москве, как подсказывает нам сайт Мосгорсуда, из задержанных проживал только некий Муромский Р.Г.

Если кому не лень поискать остальных на сайтах региональных судов (общефедеральные поисковики не ищут по постановлениям об избрании меры пресечения), ключевые пункты: статья 187 ч. 2 и сегодняшнее-вчерашнее число.

Агентство по кибербезопасности, АНБ и ФБР выпустили очередной совместный фиговый боевой листок, посвящённый борьбе с русскими государственными хакерами. С точки зрения людей, следящих за этим бесконечным сериалом, листок настолько скучен, что даже колеги @true_secator, обычно делающие стойку на любой документ, содержащий TTP (тактики, техники и процедуры) начисто его проигнорировали.

Там действительно есть TTP и даже в нотации MITRE ATT&CK, но, как и в прошлые разы ничего такого, что позволило бы атрибутировать именно русских государственных хакеров и отличить их от китайских, корейских, американских же, или вообще, представителей... Эм... Частного бизнеса.

Если бы такое руководство выпустил Пентагон, там было бы написано примерно так: "русские военные используют танки, колёсную бронетехнику, реактивные самолёты. Тактики русских включают наступление и оборону и обхват с флангов".

Но. Если убрать из документа разбросанных в произвольном порядке "спонсируемых русским государством" хакеров, то получится добротное руководство начального уровня по обеспечению безопасности. Можно распечатывать и начинать с него строить ИБ компании.

Поэтому мы для вас перевели ту часть этого руководства, в которой имеются советы по существу. И настоятельно рекомендуем к исполнению.

Наблюдали сегодня атаки (довольно масштабные) на эту уязвимость. От коллег слышали, что у ряда операторов атаки увенчались успехом и за восстановлением сброшенного конфига оборудования пришлось ехать к оборудованию ногами.

Хотим лишний раз напомнить о том, что открывать на инфраструктурном оборудовании управляющие протоколы всему интернету — довольно опасно. Более того, их нельзя открывать и внутрь сети. Доступ к ним должны иметь отдельные ip-адреса, которым это действительно нужно.

Про своевременное обновление и несловарные пароли и напоминать не будем

НКЦКИ сегодня опубликовала бюллетень об уязвимостях «нулевого дня» в оборудовании Cisco. Хотелось бы отметить, что:
👉 речь идет не обо всем оборудовании, а только о том, которое работает на базе операционных систем IOS и IOS XE и использует уязвимую подсистему работы с протоколом SNMP,
👉 для эксплуатации уязвимости необходимо обладать аутентификационной информацией для работы с SNMP,
👉 в бюллетене говорится об уязвимости "нулевого дня", в то время как Cisco опубликовала свой бюллетень об этой уязвимости еще в 2017-м году (в 2019-м году обновила в последний раз).

Патч для устранения этой уязвимости был выпущен Cisco пять лет назад, а остальные рекомендации по усилению защиты сетевого оборудования Cisco я давал ранее.

Нечто странное на стыке кибернетической и физической безопасности произошло вчера во Франции.

В ночь на 27 апреля, какой-то диверсант (или группа диверсантов) применила популярный в среде тестировщиков физической безопасности инструмент (полагаем, что болторез) к магистральным оптоволоконным кабелям, соединяющим Париж с французским регионом Бургундия—Франш-Конте (в рассылке FRench Network Operators Group поначалу даже написали, что регион полностью отрезан).

Два пострадавших кабеля принадлежали оператору Netalis (их перерезали в 03:20 и 03:40) и ещё один — "иностранному оператору", его перерезали в 05:40.

Все три кабеля перерезаны в кроссовых колодцах (см. иллюстрацию), что наводит на мысли о человеке, хорошо знакомом с местами и технологией их прокладки, а так же с конструкцией запорных устройств, элементы которых просматриваются на фотографиях. Возможно это был сотрудник одного из операторов или, например, подрядчик обслуживающий эту оптику.

Ещё интересна география повреждений. Называют три населённых пункта: Souppes-sur-Loing, Le Coudray-Montceaux и Fresnes-en-Woëvre. И если между двумя первыми точками около 50 километров, то третья отстоит от каждого из них больше, чем на 250.

То есть, если всем этим занимался один человек, он должен был перемещаться, вскрывать и резать довольно быстро. А если действовала группа, то интересно, каковы же цели: особого ущерба диверсия не нанесла, связность была восстановлена сравнительно быстро, а полное устранение повреждений заняло 11 часов.

Весна? Политическая борьба?

Другие кадры повреждений есть тут.

Не заметили - или проявили вежливость? Вчера утром в нашем канале появилось необычное сообщение. Честно - необычное. И реакции не было (почти). Мы чот удивлены.

А времена между тем… более интересные, чем раньше.

И случится может разное. Например вот, начало марта, авторы канала обмениваются скриншотами: «Ты тоже это видишь? У меня в ленте 2/3 каналов взломаны! - У меня меньше, но тоже дофига!»

Идеальный взлом - все пользовались ботом, изначально имевшим доступ к постингу в каналы для того, чтобы помогать администраторам писать отложенные сообщения. Удобная же штука, а кто её сделал, знать необязательно. Как необязательно знать, кто делает Google Docs, Azure, AWS и т.п.

Ещё вчера - мы считали, что кто-то неизвестный, предоставляя нам услугу (часто - бесплатно), не имеет на нашу информацию корыстных видов. Корпорации добра, вот это всё.

Но времена, похоже, изменились и пора думать над тем, чтобы переносить в контролируемую зону всё больше сервисов. Дорого, неудобно, больно, зато никто другой не запостит в ваш канал гифку. Только вы сами — незаблокированным телефоном в кармане.

Кстати, вчера именно так и произошло.

Тем временем, бывший сотрудник ЦРУ Джошуа Шульте признан виновным в самой крупной (пока) утечке киберинструментов ЦРУ, известной, как Vault7.

Напомним, что в этой истории есть две плоскости — личностная и организационная.

Личностная — это ссора между самим Шульте и оппонентом, проходившим на суде, как Амол, с которым они обменялись оскорблениями, касающимися внешнего вида (Шульте — лысый, а оппонент — жирный), что, судя по заявлению прокурора и стало причиной затаённой обиды Шульте на организацию.

Организационная — это масштабные проблемы с защитой собственной информации, описанные в этом отчёте. Все сотрудники подразделения "специальных информационных операций" имели административные доступы ко всей внутренней инфраструктуре. Если кто-то потерял свой пароль, во внутреннем чате можно было найти пароль от root (на процессе выяснилось, что пароль от рута на виртуалке с Confluence, которую и скачал себе Шульте — 123ABCdef, а от контроллера домена сети DEVLan — mysweetsummer). Вменяемого логирования там тоже не было, как и мониторинга, поэтому об утечке там узнали спустя год из публикации на Wikileaks. Да и доказать причастность самого Шульте, хотя подозревали его с самого начала, удалось, насколько можно судить, довольно случайно.

Поясняя следователям ситуацию (отчёт), руководство подразделения заявило, что всегда стремилось к преобладанию "культуры творчества" над ограничительными мерами, даже минимально соответствующими статусу организации, где они все работали.

В финальном слове прокурора, если опустить словесную шелуху и характерный для американского правосудия пафос, можно найти довольно много интересных подробностей про "культуру творчества", например, как три администратора закрывали для Шульте доступы к серверам, но пропустили его ssh-ключ и т.п.

Так или иначе, "виновный" найден и будет примерно наказан, а допустившее "культуру творчества" руководство подразделения, судя по всему, дало исчерпывающие объяснения следствию и продолжит творить на тех же должностях.

Куда вы первым делом смотрите на скриншотах?

Отсюда.

Наша демо-версия попала в некий каталог бесплатных курсов на хабре в раздел "тренажеры".

Во-первых, если вы её (демо-версию) ещё не видели, регистрация тут.

Во-вторых, напоминаем, что это только демо-версия того, что можно сделать для вашей организации, чтобы обучать персонал безопасному поведению.

Редко про какой фишинг хочется сказать, что это гениально.

Когда-нибудь будет открыт Музей телефонного мошенничества, и на экскурсии академичный кибер-экскурсовод будет рассказывать что-то в духе: "Смотрите, дети, мы покажем вам всю эволюцию кибер-мошенников. Это один из законов нашей жизни: как только появляется некая техническая возможность, тут же появляются мошенники, которые хотят на этом паразитировать.

Как только появилась"служба безопасности Сбербанка" и возможность общаться с ней с мобильного, фейковая "служба безопасности" стала названивать доверчивым гражданам. Этот бизнес стал настолько популярным, что постепенно дискредитировал себя и само выражение "служба безопасности сбербанка" стало мемом. Но мошенников это не смущает. Они постоянно эволюционируют! Так стали появляться звонки от других банков, а когда на мобильных телефонах появились фильтры спам-звонков, они перешли в мессенджеры.

Надо отметить, что есть некая градация. Самые непрофессиональные социнженеры "работают" в "сбере", рангом повыше - в "втб", иногда попадаются и "специалисты" из альфы. Ну, понимаете, дети, в те далекие времена еще случались колоссальные утечки данных клиентов, поэтому не пользоваться этим было совершенно невозможно...

К счастью, в нашем прекрасном настоящем все данные настолько хорошо защищены, а сотрудники из плоти и крови давно отправлены в отставку и отправились после очередной смены тел на переквалификацию, такие ситуации кажутся дикостью..."

#заметкиизбудущего

Друзья, а расскажите, какие у вас были кулстори со "службой безопасности"? Разговариваете ли вы с ними? Мы — да, а как иначе наблюдать эволюцию?

Бонус-контент от наших читателей.

"Центральная аппаратная часть банка" — это, интересно, датацентр или электрощитовая с насосной?

Если вы увлекаетесь криптографией, наверняка вы читали исторический труд Дэвида Кана "The Codebreackers". Все, кто увлекается криптографией его читали. Вообще все.

(РГАНИ, ф. 5, оп. 60, д. 246)

Последние пару дней наблюдаем волну угонов телеграм-аккаунтов, причём некоторые случаи выглядят поначалу целевой атакой на организации.

Впрочем, потом с угнанных аккаунтов начинают выпрашивать деньги и рассылать политические лозунги.

Удивительно то, что эта волна, как и несколько прошлых, реализована при помощи простенького сайта, якобы предлагающего проголосовать за вашего знакомого в каком-то неизвестном конкурсе. Казалось бы, на предложение ввести куда попало код авторизации от Телеграма не должны вестись уже даже самые далёкие от технологии люди... А вот — работает.

Вся бесхитростность этой атаки на скриншоте. Просто вводите присланный вам код через десять секунд. Ещё про эти интересные конкурсы можно почитать, например, здесь.

Один "современный облачный провайдер" столкнулся с обиженными сотрудниками. Вот что они сами пишут про это у себя в телеграме:

Ряд сотрудников, воспользовавшись своими полномочиями вывели из строя ряд локаций. Вредители уже выявлены, которые работали против нас, а наши старшие инженеры, вместе с вышестоящими сотрудниками и руководством хостинга, делают всё возможное, чтобы вернуть сеть недоступных локаций в рабочий режим. (орфография и стилистика оригинала сохранена)

Переводя с корявого корпоративного на русский: не работает почти ничего уже много часов. Оставляя в стороне вопросы разграничения доступов, правильного увольнения потенциальных инсайдеров и аккуратной работы с персоналом, наличия планов восстановления после сбоя, скажем, что злоумышленники нанесли ущерб не столько своему бывшему работодателю, сколько огромному количеству совершенно посторонних людей.

Понять это невозможно, но наверное, мы просто не умеем думать, как обиженный бегемот из анекдота.

Сидят два бегемота на берегу Нила,вяжут шапочки.К ним подходит крокодил и спрашивает:
— Бегемоты, вы не в курсе, здесь какое дно,каменистое или илистое?
Первый отвечает:
— Илистое.
Крокодил прыгает и разбивает себе голову о каменистое дно.
Второй спрашивает:
— Ты зачем ему сказал, что здесь дно илистое?
— А зачем ты мне вчера шапочку распустил?