Информационная безопасность *

Благодаря научно-техническому прогрессу контролировать данные с каждым годом становится все сложнее. И дело отнюдь не только в развитии сетевых технологий. Если раньше чтобы быть уверенным в собственной безопасности достаточно было сжечь несколько писем пикантного содержания, то сегодня удаляя компрометирующие вас документы с жесткого диска или SSD вы не можете быть на 100% уверены, что их не удастся восстановить. О том, почему так происходит и какие существуют способы гарантированного уничтожения информации, мы и поговорим в сегодняшнем материале.

XSS, или межсайтовый скриптинг, является одной из самых часто встречающихся уязвимостей в веб-приложениях. Она уже долгое время входит в OWASP Top 10 – список самых критичных угроз безопасности веб-приложений. Давайте вместе разберемся, как в вашем браузере может выполниться скрипт, полученный со стороннего сайта, и к чему это может привести (спойлер: например, к краже cookie). Заодно поговорим о том, что необходимо предпринять, чтобы обезопаситься от XSS.

Значительная часть жизни уже давно перетекла в гаджеты, онлайн-сервисы, соцсети и мессенджеры, которые ежедневно собирают тонны персональных данных. А ими часто обмениваются компании, например, в сфере рекламы или финансового бизнеса. 

Поэтому приватность и безопасность данных сейчас сложно переоценить. В большинстве IT-компаний это понимают и работают над собственными инструментами защиты (Apple, например, на каждой презентации делает особый акцент). Страны, в свою очередь, регулируют всё это специальными законами.

Основными из них являются Европейский General Data Protection Regulation (GDPR) и, принятый в Калифорнии, California Consumer Privacy Act (CCPA). Сегодня подробно разберёмся, что это за законы, чего требуют и как внедрить их поддержку в свой сервис, сайт или мобильное приложение.

Это первая статья из цикла про приватность на iOS, где поговорим не только про законы, но и про изменения в политике App Store, AppTracking Transparency и IDFA.

В предыдущей публикации мы сравнивали российские системы ДЭГ (дистанционного электронного голосования) с эстонскими — и мгновенно залезли в такие технические детали, как слепая подпись, ключевые пары и так далее, то есть, по сути, в архитектуру систем ДЭГ.

Впрочем, залезли мы относительно поверхностно — на самом деле, российская система ДЭГ (для определённости дальше будем описывать федеральную систему, ибо она в целом интереснее московской) с технической точки зрения устроена крайне непросто, но сложность эта имеет причину. И большинство комментариев о том, что «начальнику на стол ляжет список, кто как проголосовал» — из непонимания или нежелания, иногда намеренного, разобраться в этой сложности.

Конкретные объяснения, «почему с ДЭГ всё плохо», зависят от квалификации высказывающегося — и простирается от «какие числа захотят, такие и покажут» (Дарья Митина, «Коммунисты России», на недавнем круглом столе у Александра Асафова) до ссылок на протокол двух агентств с указанием на отсутствие таковых агентств (статья Александра Исавнина на Хабре).

Попробуем разобраться, так ли всё плохо на самом деле, как устроена российская — для определённости возьмём федеральную, которую делает «Ростелеком», она интереснее — система ДЭГ, что там с протоколом двух агентств и что помешает показать такие числа, какие захотят. Ну и заодно — какие есть основания верить, что система реализована действительно так, как говорится в документах.

Надеемся, вам будет интересно — в конце концов, на Хабре можно быть равнодушным к выборам, но не к сложным технологическим системам!

Ранее мы уже обсудили вопросы законодательного регулирования ИБ и определили границы зон ответственности облачных провайдеров и клиентов.

В этой статье разберемся, как формулировать запрос на облачные услуги и как с помощью ТЗ облегчить жизнь облачному провайдеру и избежать нежелательного увеличения стоимости предложения.

В первой части этой статьи эксперт компании «Информзащиты»  рассказал, как ему удалось отследить атаку группировки Winnti, «жертвами» которой становятся предприятия военно-промышленного комплекса, аэрокосмической отрасли, правительственные организации и разработчики ПО. Злоумышленники закрепляются в инфраструктуре организаций с целью вывода конфиденциальной информации. Анализ атаки помог автору обнаружить техники и тактики Winnti. 

В этой части вы найдете описания утилит, используемых Winnti для «уклонения от защиты» и узнаете, как обезопасить данные.

Обнаруженный в 2017 году вредонос Trisis до сих пор остается настоящим кошмаром для промышленности. Его цель – вывести из строя систему противоаварийной защиты предприятия, лишив автоматику и персонал возможности оперативно реагировать на аварию (от остановки оборудования до выброса ядовитых веществ). К счастью, первая атака Trisis была неудачной – хакеры выдали себя, а исследователи узнали о новой угрозе. Как же работает этот опасный вредонос, можно ли защитить от него системы ПАЗ – разберемся в этом посте.

Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что попросту не беспокоится я о своей безопасности: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. В данной статье я расскажу Вам о недавнем взломе известного в русском сегменте среди крипто-трейдеров блогере на самой популярной бирже Binance. Первые реакция и мысли после взлома от жертвы можете увидеть здесь.

С помощью социальной инженерии блогер был заражён вирусом REDLINE распакованный код которого Вы можете скачать отсюда, а оригинальный файл которым осуществлялось заражение здесь. Подключение вирус вёл по данным IP: 80.85.139.166:40955 и 188.119.113.239:39889. Оба IP принадлежат хостинг-провайдеру и находятся в ДЦ Нидерланд.

16 августа ночью была осуществлена кража сессии авторизации на Binance из браузера с ноутбука жертвы и исходя из логов IP на бирже (отсутствуют сторонние IP) вероятней всего с помощью backconnect-proxy установленном на компьютер жертвы через лоадер первичного вируса успешный и незаметный вход на саму биржу.

Для многих кража логинов и паролей и даже активных сессий из браузера не кажется чем-то существенным благодаря присутствию на бирже 2FA авторизации через ввод SMS/E-Mail кодов. Ведь действительно: каждый раз для вывода средств или перевода их кому либо Вам потребуется данное подтверждение. Но, с недавних пор на бирже появился NFT-market где люди могут покупать и продавать цифровые товары (в основном графику) и как оказалось на многих хакерских форумах почти сразу начали появляться предложения о "выводе" денег с балансов через данную уязвимость. Зайдя в Google и просто введя фразу "обход 2FA Binance" можно встретить действительно огромный выбор исполнителей.

Первая часть вышла более двух месяцев назад.
После второй с сайта убрали Яндекс.Метрику.
Надеюсь, после третьей приведут инфраструктуру в порядок.

Компания Synology предупреждает своих клиентов о новой кибер-атаке. Ботнет StealthWorker нацелен на сетевые устройства хранения данных и выполняет атаки “brute force”, которые могут привести к заражению вымогательским ПО.

По данным Synology PSIRT (Product Security Incident Response Team), взломанные устройства Synology NASвпоследствии используются в попытках взлома других Linux-систем.

Synology предупреждает об этих атаках в пресс-релизе:

Тайбэй, Тайвань — 4 августа 2021 — Группа реагирования на инциденты безопасности продуктов Synology(PSIRT) недавно получила данные о возрастании числа атак методом подбора на устройства Synology. Эксперты по безопасности Synology считают, что ботнет управляется главным образом семейством вредоносных программ StealthWorker. На данный момент Synology PSIRT не нашла свидетельств того, что вредоносные программы используют какие-либо уязвимости в программном обеспечении. 

Эти атаки воздействуют на уже зараженные устройства, заставляя их компрометировать общие учетные записи администратора в чистых системах. В случае успеха они получают доступ к системам, чтобы установить вредоносное наполнение, которое может включать программы-вымогатели. Зараженные устройства могут выполнять дополнительные атаки на другие устройства на основе Linux, включая SynologyNAS.

Synology PSIRT сотрудничает с соответствующим организациями CERT (Компьютерные группы по реагированию на чрезвычайные ситуации), чтобы больше узнать об известных C&C-серверах, контролирующих вредоносные программы, и отключить их. Одновременно с этим Synology уведомляет клиентов, которые могли быть затронуты атаками. 

TL;DR в Российских системах электронного голосования нет достаточного обеспечения тайны голосования, и похоже это сделано специально

Executive summary: В Российских системах Дистанционного Электронного голосования допущена организационная ошибка при постановке задания, позволяющая при использовании побочного канала сбора данных о пользователях (на уровне логов вебсервера) организатору голосования нарушить тайну голосования. Разработчики специально обходят тему наличия и необходимости ликвидации такой уязвимости.

Помните, недавно вышла серия постов про прививки от коронавируса?

Я член команды админов из той системы чатов v1v2 по вакцинации и лично моя зона ответственности – «ЭпиВакКорона», вакцина ГНЦ «Вектор» Роспотребнадзора.

Если коротко, то в процессе независимой проверки вакцин мы выяснили, что Спутник-V отлично работает и побочки приемлемые, а их разработчик центр им. Гамалея говорит правду в СМИ про свою вакцину и её характеристики. Ковивак (им. Чумакова) работает существенно хуже – формирует антитела далеко не у всех и на низком уровне.  А вот «ЭпиВакКорона» вовсе не получилась никак – нулевая эффективность, её даже низкой нельзя назвать. Подробнее у нас на сайте. «ЭпиВакКорона» не даёт никакой защиты от коронавируса. Какие-то антитела  от неё в 70% появляются в организме человека, но они не способны связываться с коронавирусом.

В нашем чате около 8500 человек, интересующихся нашими исследованиями и данным препаратам. И вот вчера на нас напала неизвестная группа лиц весьма своеобразным способом. Проведя небольшое исследование и ряд экспериментов удалось вычислить схему действия. В нашем чате под видом обычного пользователя сидит бот, подключённый к чату через их API. Он следит за сообщениями и как кто-то пишет новое, смотрит id пользователя. Это внутренний номер в Telegram, который не равен вашему нику или номеру телефона. Id не меняется, если вы меняете ник или номер телефона.

Далее по данному id пробивается по базам данных, собранных по публичным источникам. Доступ к ним есть через ботов в Telegram, например @Quick_OSINT или «Глаз бога».

Уже было описание уязвимости на сайте Умного голосования. Владислав Здольников на своём канале в Телеграм рассказывает очевидные вещи про прозрачность банковских платежей. И вот вчера Дмитрий Зворыкин заспорил с Леонидом Волковым, а Волков начал хамить в ответ будто Дима троль какой-то, а не ИТ-профессионал. Диму знаю 20+ лет ещё со студенческих времён в МИЭМ, потом мы вместе работали в избирательной кампании Навального 2013 года, и мне лично очень неприятно подобное отношение политиков к гражданам. Даже если бы Дима был не прав, то Волков как публичное лицо не имеет права так неуважительно общаться и позорить в том числе и Навального. И в результате, возможно увидев, что народ лайкает Диму, а не его, Волков просто забанил Диму. Типа проблемы нет. Но она есть.

Дима прав по сути.

Этот вопрос уже был рассмотрен на хабре. Дима лишь убедился что проблема осталась на том же самом месте.

На сайте Умного голосования инициализируется Яндекс.Метрика.

TheHive – open source решение и с поиском документации при работе с ним у меня возникали небольшие проблемы. Да, решение имеет большое коммьюнити, но некоторые вопросы проработаны очень кратко. Один из таких, это использование и настройка сертификата.  Итак, начнем.

Уходит целая эпоха: Корпорация MasterCard пообещала отказаться от магнитной полосы на картах к 2033 году и перейти к таким безопасным альтернативам как чипы и бесконтактные платежи. 

А мы решили вспомнить о том, как все начиналось, и поразмышлять над тем, что ждет нас после отказа от магнитных полос. 

Привет, Хабр!

Сегодня поговорим о «больших данных» в кибербезопасности, а точнее, о том насколько легко - или сложно - обойти защиту, использующую Big Data. Иначе говоря, как надурить и объегорить передовые системы обнаружения угроз, мимо всевидящего ока которых, как утверждают маркетологи, лишний байт не проскочит.

О чём, собственно говоря, речь? О системах идентификации кибератак, использующих анализ «больших данных» в качестве одного из основных инструментов выявления подозрительной активности, - системы SIEM и XDR. Такие платформы в принципе ориентированы на средний и крупный бизнес, крупные сети и облачную инфраструктуру, в которой происходят миллионы событий ежечасно. Естественно, и речи не может идти о том, чтобы анализировать их «вручную», всё это осуществляется с интенсивным использованием технических средств, хотя наличие квалифицированных специалистов - и в области «больших данных», и в области кибербезопасности, - абсолютно необходимая составляющая.

Что делают такие системы? Позволяют идентифицировать в огромных (Big, очень Big) массивах структурированных и неструктурированных данных признаки несанкционированной активности. Иначе говоря, кибератак. Учитывая, что в средних размеров сети, насчитывающей 20 тысяч конечных точек, за сутки транслируется около 50 терабайт данных, задача «прошерстить» всё это становится очень неординарной.

Для этого существуют множественные алгоритмы. Основным критерием качества платформ обнаружения угроз - в частности, XDR, является точность обнаружения аномалий в системах, которые они защищают. XDR-решения, как правило, включают в себя и SIEM-платформы, отвечающие за сбор и обработку событий, и EDR - обнаружение и реагирование на аномалии, и UBA/UEBA - системы, которые собирают (большие) массивы данных о действиях пользователей и/или конечных точек, серверов и сетевого оборудования, а затем с помощью алгоритмов машинного обучения выстраивают модели поведения и пытаются выявить отклонения от них.

Про XSS-уязвимости известно давным-давно — казалось бы, нужен ли миру ещё один материал о них? Но когда Иван Румак, занимающийся тестированием безопасности, поделился методологией их поиска на нашей конференции Heisenbug, реакция зрителей оказалась очень положительной.

И спустя два года у этого доклада по-прежнему растут просмотры и лайки, это один из самых востребованных материалов Heisenbug. Поэтому теперь мы решили, что многим будет полезна текстовая версия, и сделали ее для Хабра.

Под катом — и текст, и видео. Далее повествование идет от лица Ивана.