Сто лет советской/российской шифровальной службе.
Кто о чём, а мы будем об уязвимостях и человеческом факторе.
Дэвид Кан в своей книге Codebreakers (если не читали, то рекомендуем) рассыпался в похвалах в адрес советских коллег, сообщая, что грамотно сконструированные шифраторы навечно сохраняют в секрете от врагов России ее наиболее важную дипломатическую, агентурную и военную переписку.
Впрочем, эти слова Кан писал до того, как ЦРУ сняло секретность с одного из самых больших советских провалов на криптографическом фронте: c 1942 по 1948 год, вопреки заветам Котельникова-Шеннона, НКВД использовало не совсем одноразовые шифроблокноты: время от времени случались повторы.
Американский археолог (!) Ричард Халлок, которого АНБ привлекло в проект по вскрытию советских шифров, получивший название "Венона", доказал наличие таких повторов, после чего, некоторые шифротелеграмы удалось вскрыть. Причём за отсутствием подходящих вычислительных мощностей вся работа проводилась вручную и продолжалась аж до 1980 года, когда все поддающиеся вскрытию телеграммы уже перестали представлять какой-то интерес. кроме археологического.
Жервами Веноны предположительно стали и Клаус Фукс и супруги Розенберг и Ким Филби. В 1948 году в НКВД обнаружили ошибку и повторное использование случайных последовательностей прекратилось. Похвала Дэвида Кана снова стала соответствовать реальности.
На иллюстрации — зал шифрующей аппаратуры на "Объекте № 16". Фотография из акта о приёмке объекта в эксплуатацию, 1944 год.
Кто о чём, а мы будем об уязвимостях и человеческом факторе.
Дэвид Кан в своей книге Codebreakers (если не читали, то рекомендуем) рассыпался в похвалах в адрес советских коллег, сообщая, что грамотно сконструированные шифраторы навечно сохраняют в секрете от врагов России ее наиболее важную дипломатическую, агентурную и военную переписку.
Впрочем, эти слова Кан писал до того, как ЦРУ сняло секретность с одного из самых больших советских провалов на криптографическом фронте: c 1942 по 1948 год, вопреки заветам Котельникова-Шеннона, НКВД использовало не совсем одноразовые шифроблокноты: время от времени случались повторы.
Американский археолог (!) Ричард Халлок, которого АНБ привлекло в проект по вскрытию советских шифров, получивший название "Венона", доказал наличие таких повторов, после чего, некоторые шифротелеграмы удалось вскрыть. Причём за отсутствием подходящих вычислительных мощностей вся работа проводилась вручную и продолжалась аж до 1980 года, когда все поддающиеся вскрытию телеграммы уже перестали представлять какой-то интерес. кроме археологического.
Жервами Веноны предположительно стали и Клаус Фукс и супруги Розенберг и Ким Филби. В 1948 году в НКВД обнаружили ошибку и повторное использование случайных последовательностей прекратилось. Похвала Дэвида Кана снова стала соответствовать реальности.
На иллюстрации — зал шифрующей аппаратуры на "Объекте № 16". Фотография из акта о приёмке объекта в эксплуатацию, 1944 год.
Знаете, что это на фотографии?
Это въезд на один из объектов компании Colonial Pipeline Co, о которой в нашей индустрии последние три дня только и разговоров.
И смотрите что удивительно: забор, колючая проволока, камеры, датчики, будка с ЧОПом. И даже реклама методики "Остановись - Подумай - Сделай - Проверь" (ради этой рекламы мы и выбрали конкретный объект), которая явно насаждается в компании для усиления безопасности (той, которая safety). Ещё рядом с насосными станциями компании можно разглядеть дизельные генераторы и даже ветроуказатели (типа "полосатый тряпичный конус").
То есть существует какой-то риск-менеджер, который составляет модель угроз и насаждает в компании стратегии снижения риска: вот забор и камеры от террористов и охотников за металлом/нефтью, вот методики от ошибочных действий персонала, вот дизели на случай отключения электропитания.
А потом внезапно приходит ransomware — и компания перестает работать вообще. И ладно бы какая-то небольшая, так ведь это крупнейший трубопроводный оператор! И несмотря на меры, принимаемые властями и нефтетрейдерами — дефицит бензина, очереди на заправках и прочее, и прочее, что невероятно дорого обойдётся экономике.
Получается, что этот, как сказали бы у нас, субъект критической инфраструктуры, оказался, во-первых, весьма лёгкой для Ransomware целью. Причём, не просто сама компания, но её технологический сегмент.
Во-вторых, оказывается, что у крупнейшего трубопроводного оператора страны нет никакого аварийного плана, позволяющего в подобной ситуации сравнительно быстро ввести инфраструктуру в строй. Вот и полнится интернет фотографиями, как жители США закупают впрок десятки канистр с бензином.
Если бы такое произошло от отключения электропитания, от проникновения на территорию заблудившегося гризли или от похищения оборудования, в первую очередь в виноватые записали бы саму компанию. Потому что не огородили, не охраняли, не позаботились о генераторах. А тут все обращают внимание пока только хакеров, хотя, честно сказать, стоит задать компании много интересных вопросов.
Это въезд на один из объектов компании Colonial Pipeline Co, о которой в нашей индустрии последние три дня только и разговоров.
И смотрите что удивительно: забор, колючая проволока, камеры, датчики, будка с ЧОПом. И даже реклама методики "Остановись - Подумай - Сделай - Проверь" (ради этой рекламы мы и выбрали конкретный объект), которая явно насаждается в компании для усиления безопасности (той, которая safety). Ещё рядом с насосными станциями компании можно разглядеть дизельные генераторы и даже ветроуказатели (типа "полосатый тряпичный конус").
То есть существует какой-то риск-менеджер, который составляет модель угроз и насаждает в компании стратегии снижения риска: вот забор и камеры от террористов и охотников за металлом/нефтью, вот методики от ошибочных действий персонала, вот дизели на случай отключения электропитания.
А потом внезапно приходит ransomware — и компания перестает работать вообще. И ладно бы какая-то небольшая, так ведь это крупнейший трубопроводный оператор! И несмотря на меры, принимаемые властями и нефтетрейдерами — дефицит бензина, очереди на заправках и прочее, и прочее, что невероятно дорого обойдётся экономике.
Получается, что этот, как сказали бы у нас, субъект критической инфраструктуры, оказался, во-первых, весьма лёгкой для Ransomware целью. Причём, не просто сама компания, но её технологический сегмент.
Во-вторых, оказывается, что у крупнейшего трубопроводного оператора страны нет никакого аварийного плана, позволяющего в подобной ситуации сравнительно быстро ввести инфраструктуру в строй. Вот и полнится интернет фотографиями, как жители США закупают впрок десятки канистр с бензином.
Если бы такое произошло от отключения электропитания, от проникновения на территорию заблудившегося гризли или от похищения оборудования, в первую очередь в виноватые записали бы саму компанию. Потому что не огородили, не охраняли, не позаботились о генераторах. А тут все обращают внимание пока только хакеров, хотя, честно сказать, стоит задать компании много интересных вопросов.
Работая над списком тем для наших обучающих игр (ну, там, "фишинг", "безопасные пароли", "размещение важной информации в открытых источниках", "социальная инженерия", вот это всё), собрали такой список из трёх первичных навыков, которые нужны человеку для выживания в современном киберпанк-мире:
— Знание, что от вас хотят киберпреступники (спойлер: ничего, они хотят деньги вашей компании);
— Разумное недоверие;
— Внимательность.
Остальное — важные, но детали.
Вы вот согласны?
— Знание, что от вас хотят киберпреступники (спойлер: ничего, они хотят деньги вашей компании);
— Разумное недоверие;
— Внимательность.
Остальное — важные, но детали.
Вы вот согласны?
Кстати, о внимательности и разумном недоверии.
Мошенники, выдававшие себя за... Илона Маска, за последние полгода выманили у своих жертв примерно 2 миллиона долларов в криптовалюте. Об этом пишет в майском пресс-релизе Федеральная Торговая Комиссия США.
Между прочим, не такой простой процесс: странички-клоны аккаунта Маска велись годами и полностью дублировали его контент, чтобы в нужный момент пригласить всех читателей поучаствовать в крайне выгодной сделке. Твиттер, конечно, удаляет подобные аккаунты, но за всеми не уследишь. А дальше дело техники, социальной инженерии человеческой жадности и невнимательности.
Интересно, что с технической точки зрения схемы у кибермошенников из разных стран примерно одинаковые, зато тщательно подбирается локализация и грамотно используются вызывающие безоговорочное доверие локальные реалии: в России мошенники, чаще всего, используют для прикрытия Сбер и его службу безопасности, а в США — Илона Маска...
Мошенники, выдававшие себя за... Илона Маска, за последние полгода выманили у своих жертв примерно 2 миллиона долларов в криптовалюте. Об этом пишет в майском пресс-релизе Федеральная Торговая Комиссия США.
Между прочим, не такой простой процесс: странички-клоны аккаунта Маска велись годами и полностью дублировали его контент, чтобы в нужный момент пригласить всех читателей поучаствовать в крайне выгодной сделке. Твиттер, конечно, удаляет подобные аккаунты, но за всеми не уследишь. А дальше дело техники, социальной инженерии человеческой жадности и невнимательности.
Интересно, что с технической точки зрения схемы у кибермошенников из разных стран примерно одинаковые, зато тщательно подбирается локализация и грамотно используются вызывающие безоговорочное доверие локальные реалии: в России мошенники, чаще всего, используют для прикрытия Сбер и его службу безопасности, а в США — Илона Маска...
Federal Trade Commission
FTC Data Shows Huge Spike in Cryptocurrency Investment Scams
Since October 2020, consumers have reported losing more than $80 million to cryptocurrency investment scams, an increase of more than ten-fold year-over-year, according to a new data analysis from
На этой прекрасной фотографии капитан Александр Гарлэнд — "оператор криптографии" из 341-го "эскадрона поддержки операций" — показывает нам деревянную пирамиду про то, что защита американских межконтинентальных баллистических ракет сводится к разделению секрета между двумя офицерами.
Того самого секрета, который, как минимум, до середины семидесятых вводился руками и состоял из восьми нулей, чтобы не дай бог кто чего не перепутал при запуске.
Того самого секрета, который, как минимум, до середины семидесятых вводился руками и состоял из восьми нулей, чтобы не дай бог кто чего не перепутал при запуске.
Не знаем, что смешнее.
Тот факт, что Министерство Юстиции США изъяло у группировки DarkSide биткойны, выплаченные Colonial Pipeline в качестве выкупа... Потому, что у ФБР был ключ от кошелька на который деньги поступили после всех переводов (прочитайте ещё раз и медленно).
Или тот факт, что Минюст уже грохнул сообщение об этом со своего сайта. В кэше телеграма оно есть, ссылка на него на сайте есть, а сообщения нет.
А вы как думаете? Есть ключи от ваших кошельков у ФБР?
upd: Олег Шакиров нашел исходное сообщение в кэше бинг.
upd2: Минюст вероятно тоже нашел исходное сообщение в кэше бинг и вернул на место. В нём ничего не поменялось. В общем этот пост теперь вдвое менее смешной, сорян.
Тот факт, что Министерство Юстиции США изъяло у группировки DarkSide биткойны, выплаченные Colonial Pipeline в качестве выкупа... Потому, что у ФБР был ключ от кошелька на который деньги поступили после всех переводов (прочитайте ещё раз и медленно).
Или тот факт, что Минюст уже грохнул сообщение об этом со своего сайта. В кэше телеграма оно есть, ссылка на него на сайте есть, а сообщения нет.
А вы как думаете? Есть ключи от ваших кошельков у ФБР?
upd: Олег Шакиров нашел исходное сообщение в кэше бинг.
upd2: Минюст вероятно тоже нашел исходное сообщение в кэше бинг и вернул на место. В нём ничего не поменялось. В общем этот пост теперь вдвое менее смешной, сорян.
www.justice.gov
Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to
The Department of Justice today announced that it has seized 63.7 bitcoins currently valued at over $2.3 million.
Как вы думаете, есть ли у ФБР ключи от ваших криптокошельков?
Anonymous Poll
20%
Да
26%
Нет
9%
Есть, я их сам туда отдал
5%
Я и есть ФБР
40%
У меня нет кошелька, но я не прочь отдать ключ, если мне его заведут и положат туда деньги
По результатам вчерашнего опроса: вы все уверены, что у ФБР нет ключей от ваших кошельков (которых у большинства, в свою очередь, нет) и скорее всего вы правы.
Мы изучили главный документ по делу -- показания федерального агента по имени ⬛️⬛️⬛️⬛️⬛️, на основании которых судом принималось решение о конфискации 63 биткойнов.
Итак, последовательность событий была такова: 7 мая ФБР получает от Colonial Pipeline (обозначаемых в документе, как "Victim X") сообщение о том, что те перевели 75 биткойнов вымогателям на их кошелёк.
Дальше вымогатели разделили сумму на две части (видимо между оператором Ransomware и партнёром обеспечившим проникновение в сеть Colonial Pipeline). 11 Биткойнов ушли в миксер и пропали из поля зрения ФБР.
Оставшаяся сумма в 63 биткойна тоже ушла в миксер, но по какой-то причине, застряла там до 27 мая.
27 мая произошло главное событие: некая зацензурированная сущность (см. иллюстрацию) — с очень высокой вероятностью владелец миксера — перевела 69 биткойнов (включающих те 63) на кошелёк, ключ от которого имелся у подразделения ФБР в Северном округе (District) Калифорнии.
Насладиться процессом ареста биткойнов можно в двух вчерашних транзакциях: 63 биткойна, имеющие отношение к истории с DarkSide переводятся на один кошелёк, оставшиеся 5, непонятно, как сюда попавшие - на другой.
Вот так. И никакой магии.
Мы изучили главный документ по делу -- показания федерального агента по имени ⬛️⬛️⬛️⬛️⬛️, на основании которых судом принималось решение о конфискации 63 биткойнов.
Итак, последовательность событий была такова: 7 мая ФБР получает от Colonial Pipeline (обозначаемых в документе, как "Victim X") сообщение о том, что те перевели 75 биткойнов вымогателям на их кошелёк.
Дальше вымогатели разделили сумму на две части (видимо между оператором Ransomware и партнёром обеспечившим проникновение в сеть Colonial Pipeline). 11 Биткойнов ушли в миксер и пропали из поля зрения ФБР.
Оставшаяся сумма в 63 биткойна тоже ушла в миксер, но по какой-то причине, застряла там до 27 мая.
27 мая произошло главное событие: некая зацензурированная сущность (см. иллюстрацию) — с очень высокой вероятностью владелец миксера — перевела 69 биткойнов (включающих те 63) на кошелёк, ключ от которого имелся у подразделения ФБР в Северном округе (District) Калифорнии.
Насладиться процессом ареста биткойнов можно в двух вчерашних транзакциях: 63 биткойна, имеющие отношение к истории с DarkSide переводятся на один кошелёк, оставшиеся 5, непонятно, как сюда попавшие - на другой.
Вот так. И никакой магии.
Кто хранит тайны? Море, вечность и... мы.
За последний год с онлайн-играми мы могли бы собрать неплохую базу связок почта-пароль и... Впрочем, этот канал про обратную сторону силы:)
Есть такое когнитивное искажение: систематическая ошибка внимания. На чем сфокусирован, на то и обращаешь внимание. И вот потенциальный участник игры получает игровые логин и пароль, ссылку и... видя перед собой форму логина вводит свои привычные - рабочую почту и пароль от нее. Мы это видим, потому что у нас подробные логи:) А если бы это были не мы?
Все просто: игра - она тоже по работе, из рабочей почты, и вообще эта работа кругом, кругом одна работа, никакой жизни от нее, что сюда нужно вбить... как это мой пароль не подходит? Позвоню-как в службу поддержки!
Кажется, все опять упирается в проблему внимательности и сфокусированности на том, что делаешь в данный момент.
Мы-то храним тайны, но ваши сотрудники точно не сеют широким жестом свои рабочие доступы направо и налево?
А, кстати, именно когнитивные искажения и грамотное их использование - это то, на чем работает вся социальная инженерия.
За последний год с онлайн-играми мы могли бы собрать неплохую базу связок почта-пароль и... Впрочем, этот канал про обратную сторону силы:)
Есть такое когнитивное искажение: систематическая ошибка внимания. На чем сфокусирован, на то и обращаешь внимание. И вот потенциальный участник игры получает игровые логин и пароль, ссылку и... видя перед собой форму логина вводит свои привычные - рабочую почту и пароль от нее. Мы это видим, потому что у нас подробные логи:) А если бы это были не мы?
Все просто: игра - она тоже по работе, из рабочей почты, и вообще эта работа кругом, кругом одна работа, никакой жизни от нее, что сюда нужно вбить... как это мой пароль не подходит? Позвоню-как в службу поддержки!
Кажется, все опять упирается в проблему внимательности и сфокусированности на том, что делаешь в данный момент.
Мы-то храним тайны, но ваши сотрудники точно не сеют широким жестом свои рабочие доступы направо и налево?
А, кстати, именно когнитивные искажения и грамотное их использование - это то, на чем работает вся социальная инженерия.
Итак, наступил тот неприятный момент, когда, придя утром в офис, вы на всех мониторах видите жуткой орфографии послание о том, сколько и куда биткойнов вы должны перевести, чтобы вернуть назад свои многогигабайтные базы.
Открывайте коньяк и слушайте.
Впрочем - нет. Давайте вернёмся чуть назад, ещё ничего не произошло, вы удобно сидите с чашкой вкусного чая и читаете этот пост.
Если вы - достаточно жирная пища (ну, в плане размера компании и суммы, которую с вас можно стрясти), злоумышленники не будут спешить с шифрованием. Они внимательно изучат, что и где у вас лежит. Найдут, где у вас самые чувствительные данные, найдут где у вас бэкапы. Они даже почитают ваши рекламные материалы, чтобы лучше понимать, чем вам угрожать в приветственном послании.
Из всего перечисленного для вас самое неприятное - это бэкапы. Потому что если ваши резервные копии тем или иным способом можно удалить, злоумышленники так и поступят. Займитесь неудаляемыми бэкапами, пока у вас спокойная обстановка и чай, а не паника и коньяк. Подходы тут есть разные: можно писать на сменные носители (от ретро-стримеров до дорогих SSD) и убирать их в стол, обеспечивая хотя бы двухнедельную ротацию - чтобы у вас всегда была копия двухнедельной давности. А можно придумать отдельный сервер с тщательным разграничением доступов.
Ок. Вы всё это прочитали и ничего, разумеется, не сделали. Вот теперь открывайте коньяк.
Через несколько часов вы возможно переведёте немного денег в криптовалюте на кошелёк злоумышленников (порицаем, но понимаем, что выхода у вас может не быть), а взамен получите заветный decryptor.exe . И тут самое время... Сделать бэкап. Потому, что декрипторы часто написаны кое-как и могут сделать с файлами странное. Поэтому, как бы вы ни спешили, расшифровывайте файлы по одному и смотрите на результат, а особенно - обращайте внимание на базы данных. Если файлы будут повреждены уже расшифровщиком, вы, скорее всего, лишитесь их навсегда, так что не пренебрегайте резервной копией хотя бы в этом случае.
И вообще, если вы столкнулись с шифровальщиком, напишите нам. Мы поможем вам организовать процесс реагирования без паники и необдуманных действий.
Открывайте коньяк и слушайте.
Впрочем - нет. Давайте вернёмся чуть назад, ещё ничего не произошло, вы удобно сидите с чашкой вкусного чая и читаете этот пост.
Если вы - достаточно жирная пища (ну, в плане размера компании и суммы, которую с вас можно стрясти), злоумышленники не будут спешить с шифрованием. Они внимательно изучат, что и где у вас лежит. Найдут, где у вас самые чувствительные данные, найдут где у вас бэкапы. Они даже почитают ваши рекламные материалы, чтобы лучше понимать, чем вам угрожать в приветственном послании.
Из всего перечисленного для вас самое неприятное - это бэкапы. Потому что если ваши резервные копии тем или иным способом можно удалить, злоумышленники так и поступят. Займитесь неудаляемыми бэкапами, пока у вас спокойная обстановка и чай, а не паника и коньяк. Подходы тут есть разные: можно писать на сменные носители (от ретро-стримеров до дорогих SSD) и убирать их в стол, обеспечивая хотя бы двухнедельную ротацию - чтобы у вас всегда была копия двухнедельной давности. А можно придумать отдельный сервер с тщательным разграничением доступов.
Ок. Вы всё это прочитали и ничего, разумеется, не сделали. Вот теперь открывайте коньяк.
Через несколько часов вы возможно переведёте немного денег в криптовалюте на кошелёк злоумышленников (порицаем, но понимаем, что выхода у вас может не быть), а взамен получите заветный decryptor.exe . И тут самое время... Сделать бэкап. Потому, что декрипторы часто написаны кое-как и могут сделать с файлами странное. Поэтому, как бы вы ни спешили, расшифровывайте файлы по одному и смотрите на результат, а особенно - обращайте внимание на базы данных. Если файлы будут повреждены уже расшифровщиком, вы, скорее всего, лишитесь их навсегда, так что не пренебрегайте резервной копией хотя бы в этом случае.
И вообще, если вы столкнулись с шифровальщиком, напишите нам. Мы поможем вам организовать процесс реагирования без паники и необдуманных действий.
Наш читатель Евгений делится выдержкой из технических условий на некое изделие для РВСН, в котором написано, что некоторые модули памяти в целях безопасности могут быть пожароопасными.
К сожалению аббревиатура ДТД не раскрывается, но по контексту понятно, что "деструктор" имеет пиротехническую природу.
Если вы ООП-программист вам должно отдельно понравиться, что в некоторых классах вызов деструктора может иметь иные эффекты, нежели вы рассчитываете.
UPD: есть мнение, что означенное изделие можно увидеть на этом скриншоте.
К сожалению аббревиатура ДТД не раскрывается, но по контексту понятно, что "деструктор" имеет пиротехническую природу.
Если вы ООП-программист вам должно отдельно понравиться, что в некоторых классах вызов деструктора может иметь иные эффекты, нежели вы рассчитываете.
UPD: есть мнение, что означенное изделие можно увидеть на этом скриншоте.
Несколько дней назад проскочила новость класса facepalm про то, что сбербанковского телефонного робота можно обмануть подменой номера телефона. Банки вообще последнее время полюбили модные и молодёжные способы удобной авторизации клиентов.
Имеем по этому поводу сказать нечто стратегически важное.
Имеем по этому поводу сказать нечто стратегически важное.
Telegraph
Аутентификация и другие
Несколько дней назад проскочила новость класса facepalm про то, что сбербанковского телефонного робота можно обмануть подменой номера телефона. Банки вообще последнее время полюбили модные и молодёжные способы удобной авторизации клиентов. Имеем по этому…
Есть очень важная вещь, которую вообще мало кто может реализовать.
Допустим, у вас уже есть простой, не требующий заполнения от руки заявления в трёх экземплярах, способ сообщить в службу (информационной) безопасности о том, что сотрудник обнаружил направленные на него лично или на компанию атаки: фишинговые письма, подозрительную активность на своём компе, что ему звонил кто-то подозрительный и представлялся сисадмином и т.п.
Теперь сложное.
Чтобы этот канал связи работал, сотрудник должен быть абсолютно уверен в том, что на любое его сообщение отреагируют серьёзно и ответственно.
Во первых, что разберутся, примут меры (обязательно примут, не забьют!) и дадут какую-то обратную связь.
А во вторых, и это самое важное, даже если он сообщит о собственном косяке: вбил пароль на фишинговом сайте; словил троянца на порносайте; вставил флэшку, найденную перед входом в офис; переслал фиг знает кому документ с самой страшной тайной компании; оставил в интернете сервер, на который разрешено логиниться под root с паролем "123"...
В общем, о чём бы он ни сообщил, он должен быть уверен, что ему за это ни-че-го не бу-дет.
Причём в это "ничего" в том числе входит, что над ним не будут смеяться, тыкать пальцами, обсуждать в курилке, какой же он идиот. Спокойно отреагируют на его сообщение, спокойно исправят, спокойно скажут спасибо, что сообщил.
Допустим, у вас уже есть простой, не требующий заполнения от руки заявления в трёх экземплярах, способ сообщить в службу (информационной) безопасности о том, что сотрудник обнаружил направленные на него лично или на компанию атаки: фишинговые письма, подозрительную активность на своём компе, что ему звонил кто-то подозрительный и представлялся сисадмином и т.п.
Теперь сложное.
Чтобы этот канал связи работал, сотрудник должен быть абсолютно уверен в том, что на любое его сообщение отреагируют серьёзно и ответственно.
Во первых, что разберутся, примут меры (обязательно примут, не забьют!) и дадут какую-то обратную связь.
А во вторых, и это самое важное, даже если он сообщит о собственном косяке: вбил пароль на фишинговом сайте; словил троянца на порносайте; вставил флэшку, найденную перед входом в офис; переслал фиг знает кому документ с самой страшной тайной компании; оставил в интернете сервер, на который разрешено логиниться под root с паролем "123"...
В общем, о чём бы он ни сообщил, он должен быть уверен, что ему за это ни-че-го не бу-дет.
Причём в это "ничего" в том числе входит, что над ним не будут смеяться, тыкать пальцами, обсуждать в курилке, какой же он идиот. Спокойно отреагируют на его сообщение, спокойно исправят, спокойно скажут спасибо, что сообщил.
а вы бы сообщили, что немножко косякнули, и это может иметь ой какие последствия для компании?
Anonymous Poll
51%
да, конечно, это безопасность
12%
я не могу, у меня ипотека
6%
я раз им сообщил, теперь моя фотка с пририсованными ослиными ушами висит у них на мишени для дартса.
17%
мне некому сообщать, у меня нет службы безопасности
15%
я из той самой службы безопасности, и никогда никому не расскажу о своих косяках
В недавнем посте мы высказали мнение, что пароли ещё поживут.
Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.
Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.
Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).
В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.
В общем, единственное, чего добиваются исповедующие политику парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.
Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.
Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.
Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.
Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.
Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.
А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.
Итак, чтобы парольная защита работала, как ей положено:
1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны использовать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте подозрительные авторизации. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.
Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:
— NIST Special Publication 800-63B
— CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании
* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.
Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.
Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.
Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).
В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.
В общем, единственное, чего добиваются исповедующие политику парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.
Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.
Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.
Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.
Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.
Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.
А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.
Итак, чтобы парольная защита работала, как ей положено:
1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны использовать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте подозрительные авторизации. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.
Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:
— NIST Special Publication 800-63B
— CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании
* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.
CIS
White Paper: CIS Password Policy Guide
The CIS Password Policy Guide was developed by the CIS Benchmarks community and consolidates password guidance in one place.
This media is not supported in your browser
VIEW IN TELEGRAM
Иранские хакеры взломали систему видеонаблюдения в иранской же тюрьме, чтобы показать миру случаи жестокого обращения с заключёнными.
Сами случаи — выглядят манипулятивной подборкой (кого-то тащат по полу за руки, кого-то тащат за шкирку, кто-то лежит на полу, предыстория нигде не показана), а вот прилагающиеся к ролику редкие кадры, как охранники тюрьмы реагируют на замену видео посланиями хакеров, мы вам оттуда вырезали.
Сами случаи — выглядят манипулятивной подборкой (кого-то тащат по полу за руки, кого-то тащат за шкирку, кто-то лежит на полу, предыстория нигде не показана), а вот прилагающиеся к ролику редкие кадры, как охранники тюрьмы реагируют на замену видео посланиями хакеров, мы вам оттуда вырезали.
Кстати, а вот Windows 7 в иранской тюрьме. @sanctionsrisk, это вообще законно? :)
Вчера ЦБ РФ порадовал всех неожиданным уведомлением: Роскомнадзор планирует заблокировать четыре VPN-сервиса, а ЦБ проявляет заботу и просит банки, которые используют эти сервисы в своей работе, сообщить об этом, чтобы не попасть под блокировку.
Нас в этой истории больше всего удивило, что все четыре перечисленных сервиса - это не какие-то специальные корпоративные VPN-провайдеры, это обычные сервисы для анонимизации и обхода блокировок.
Причём, судя по описаниям на сайтах, биографиям руководителей и прочим признакам, сервисы эти пишут логи VPN-соединений для экономии времени сразу на сервера АНБ, ФБР и OFAC.
Интересно, какие, с точки зрения зрения Центробанка, бизнес-процессы могут связывать российские банки с этими ребятами?
Нас в этой истории больше всего удивило, что все четыре перечисленных сервиса - это не какие-то специальные корпоративные VPN-провайдеры, это обычные сервисы для анонимизации и обхода блокировок.
Причём, судя по описаниям на сайтах, биографиям руководителей и прочим признакам, сервисы эти пишут логи VPN-соединений для экономии времени сразу на сервера АНБ, ФБР и OFAC.
Интересно, какие, с точки зрения зрения Центробанка, бизнес-процессы могут связывать российские банки с этими ребятами?
РБК
ЦБ предупредил банки о возможности новых блокировок VPN-сервисов
ЦБ попросил банки назвать VPN-сервисы, которые они используют для работы, чтобы избежать проблем при их блокировке со стороны Роскомнадзора. В частности, запрос касается сервисов Psiphon, Tunnelbear
Некоторые несчастные случаи, с которыми нам доводится сталкиваться, мешает сделать поучительными соглашение о неразглашении. Приходится искать аналогии в истории, благо события происходят с завидной регулярностью, вот например.
Одним прекрасным вечером в конце семидесятых годов лейтенант Новгородов из отдела эксплуатации боевых программ шел на дежурство длинными коридорами радиолокационной станции Дунай-3М. Путь его был тернист — на пути встретился ехидный сослуживец с коварным вопросом: почему первая космическая скорость — 7.2 километра в секунду, а наши распечатки показывают от 5 до 7? Ответа лейтенант не знал, однако, человеком он был любыпытным и склонным к дедукции, поэтому, пока он дошел до своего рабочего места, он получил правдоподобную гипотезу (если вам интересно, он решил, что дело в разных системах координат) и теперь нуждался в её проверке.
Для проверки Новгородов решил использовать то, что под рукой, — так называемую "машину траекторного управления" (МТУ) — одну из двенадцати объединённых в сеть ЭВМ типа 5Э92Б, составлявших вычислительный комплекс РЛС и занимавшуюся построением баллистических траекторий для всех космических объектов, попадавших в поле зрения станции.
Потребовалось дописать соответствующую обвязку к работающей на машине штатной программе, благо делалось это быстро: никаких компиляторов, всё программирование осуществлялось непосредственно в машинных кодах.
К утру загадка разрешилась, дело действительно оказалось в системах координат, а герой нашего повествования исправлял программу, удаляя дописанные куски кода... И тут МТУ выдала в сеть ложную баллистическую цель.
Необычного в этом ничего не было: ложные цели были частыми гостями, но каждый случай тщательно разбирался специальным отделом, а результаты исследований использовались для доработки ПО. Аналитики по ложным целям тоже были ребятами склонными к дедукции и следы от деятельности Новгородова немделенно обнаружили. Дальше шли неприятности, выговоры, следствие, возможное уголовное дело...
Спас разработчик радиолокационной станции — НИИ Дальней Радиосвязи, который не остановился на очевидном виновнике, а проделал тщательный анализ и докопался таки до истинной причины выдачи ложной цели (оказалось, что по этой причине случай ложняка не единичный) и устранил её.
Морали у этой истории две. Во-первых, если не хотите общаться с мрачными сотрудниками КГБ (а их сначала интересовало, не шпион ли гражданин лейтенант, а потом - как сделать так, чтобы подобные ему не лазили шаловливыми ручками в боевую систему) — не ставьте экспериментов на продакшене, независимо от того, у вас там система предупреждения о ракетном нападении или автоматизировая банковская система.
Во-вторых, будьте, как НИИДАР — даже если перед вами стоит и виновато хлопает глазами очевидный виновник инцидента, проверьте другие варианты.
Одним прекрасным вечером в конце семидесятых годов лейтенант Новгородов из отдела эксплуатации боевых программ шел на дежурство длинными коридорами радиолокационной станции Дунай-3М. Путь его был тернист — на пути встретился ехидный сослуживец с коварным вопросом: почему первая космическая скорость — 7.2 километра в секунду, а наши распечатки показывают от 5 до 7? Ответа лейтенант не знал, однако, человеком он был любыпытным и склонным к дедукции, поэтому, пока он дошел до своего рабочего места, он получил правдоподобную гипотезу (если вам интересно, он решил, что дело в разных системах координат) и теперь нуждался в её проверке.
Для проверки Новгородов решил использовать то, что под рукой, — так называемую "машину траекторного управления" (МТУ) — одну из двенадцати объединённых в сеть ЭВМ типа 5Э92Б, составлявших вычислительный комплекс РЛС и занимавшуюся построением баллистических траекторий для всех космических объектов, попадавших в поле зрения станции.
Потребовалось дописать соответствующую обвязку к работающей на машине штатной программе, благо делалось это быстро: никаких компиляторов, всё программирование осуществлялось непосредственно в машинных кодах.
К утру загадка разрешилась, дело действительно оказалось в системах координат, а герой нашего повествования исправлял программу, удаляя дописанные куски кода... И тут МТУ выдала в сеть ложную баллистическую цель.
Необычного в этом ничего не было: ложные цели были частыми гостями, но каждый случай тщательно разбирался специальным отделом, а результаты исследований использовались для доработки ПО. Аналитики по ложным целям тоже были ребятами склонными к дедукции и следы от деятельности Новгородова немделенно обнаружили. Дальше шли неприятности, выговоры, следствие, возможное уголовное дело...
Спас разработчик радиолокационной станции — НИИ Дальней Радиосвязи, который не остановился на очевидном виновнике, а проделал тщательный анализ и докопался таки до истинной причины выдачи ложной цели (оказалось, что по этой причине случай ложняка не единичный) и устранил её.
Морали у этой истории две. Во-первых, если не хотите общаться с мрачными сотрудниками КГБ (а их сначала интересовало, не шпион ли гражданин лейтенант, а потом - как сделать так, чтобы подобные ему не лазили шаловливыми ручками в боевую систему) — не ставьте экспериментов на продакшене, независимо от того, у вас там система предупреждения о ракетном нападении или автоматизировая банковская система.
Во-вторых, будьте, как НИИДАР — даже если перед вами стоит и виновато хлопает глазами очевидный виновник инцидента, проверьте другие варианты.
