Сравнительно недавно мы рассказали, как снимался второй сезон нашего мини-сериала. Там же выложили бэкстейдж и первую серию. Надеемся, что вам будет интересно. Продолжение — под катом.
Информационная безопасность *
Защита данных
Новости
ТОП-3 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-3 — уязвимость в чипах Realtek, последствия атаки на компанию Twilio и компрометация Active Directory с использованием Bumblebee.
Новости собирал Артем Крикунов, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
Угнать за 60 секунд: как уберечь свой Telegram-аккаунт от злоумышленников
С каждым месяцем популярность мессенджера только растет. В июне 2022 года аудитория Telegram достигла 700 миллионов человек — об этом рассказал основатель сети Павел Дуров. Для российских пользователей приложение является одной из самых популярных программ — более 52% аудитории рунета регулярно посылают друг другу сообщения в мессенджере. Растет и количество мошенников, которые пытаются увести у владельцев их каналы.
В этой статье спикер Слёрма Роман Панин, руководитель направления по архитектуре ИБ в МТС, и Владимир Силаев, эксперт по Telegram, админ каналов, поделились мыслями о том, как уберечь каналы и не дать злоумышленникам похитить ваш интеллектуальный труд.
Импортозамещение систем резервного копирования и автоматизация работы с бэкапами
Бэкапы окружают нас повсюду — примеры «резервного копирования» можно встретить в самых неожиданных вещах. Хоккейные команды высшей лиги часто нанимают так называемых «экстренных вратарей». Они выходят на поле, если основной голкипер и его первая замена не могут продолжать игру. Обычно на эту роль берут не профессиональных хоккеистов, а любителей, но и им иногда приходится защищать ворота своей команды.
Что уж говорить про сферу ИТ, где системы хранения данных регулярно приходят в негодность. Не так давно Киотский университет из-за ошибки в системе резервирования потерял сразу 77 терабайт данных. Больше бэкапов не было, поэтому четыре рабочие группы лишились результатов исследований.
Чтобы избежать подобных ситуаций, важно хранить резервные копии на разных накопителях и в разных местах — например, по популярной модели 3-2-1. Сами копии можно делать вручную, прописывая скрипты. Такой вариант вполне годится для стартапов и малого бизнеса, но не подходит для компаний с парками серверов, насчитывающих десятки и сотни машин. Здесь на помощь приходят инструменты автоматизации.
Practical Security Village Sochi
16 сентября мы проведем наш воркшоп по практической информационной безопасности Practical Security Village в формате оффлайн.
Воркшоп пройдет в Сочи, на территории горнолыжного курорта Роза Хутор. Вас ожидает: обучение, живое общение, прогулки по черноморскому побережью, горные пейзажи и особая атмосфера бархатного сезона.
Традиционно для участников мы подготовили инфраструктуру с заложенными в ней уязвимостями. У вас будет возможность познакомиться с актуальными уязвимостями и способами их эксплуатации.
Виртуализация в образовании
Технологии виртуализации приобрели популярность во всех отраслях экономики, и образовательная сфера — не исключение. Это вполне закономерно, поскольку именно в учебных заведениях раскрываются все преимущества использования виртуальных вычислений.
В этом посте мы рассмотрим наиболее важные эффекты от применения виртуализации в образовательных учреждениях.
Особенности ИТ в учебных заведениях
Работа ИТ-персонала в учебных заведениях имеет ряд отличий от аналогичного процесса в обычных компаниях и организациях.
Первое отличие — это фактор непредсказуемости в виде студентов и школьников. Из любопытства, по незнанию или поддавшись на «слабо», они могут запустить на школьном компьютере вредоносное ПО, изменить сетевые настройки, а при сильном желании — привести систему в нерабочее состояние. Ситуацию осложняет еще и тот факт, что все эти действия могут выполняться в рамках учебного процесса, если, например, речь идет о дисциплинах «Системное администрирование» или «Защита информации». А если все студенты, как это часто бывает, работают под одной «учебной» учеткой, невозможно даже понять, кто и зачем сказал «мяу» отформатировал диск.
Второе отличие школьных и вузовских систем — обилие устаревшего оборудования и операционных систем. Не так много учебных заведений имеют возможность регулярно обновлять компьютеры и приобретать лицензии на ОС и ПО для учебного процесса.
Третье отличие — сравнительно более низкая квалификация ИТ-персонала, функции которого часто возлагают на преподавателей профильных дисциплин, более-менее подкованных студентов-старшекурсников или аспирантов.
Как я хакнул свой автомобиль
Машина
Прошлым летом я купил Hyundai Ioniq SEL 2021 года. Это хороший экономящий топливо гибрид с приличным набором функций: беспроводные Android Auto/Apple CarPlay, беспроводная зарядка для телефона, сиденья с подогревом и люк в крыше.
Особенно мне понравилась в этой машине система In-Vehicle Infotainment (IVI). Как я говорил ранее, у машины есть беспроводное Android Auto, что довольно редко для такого ценового диапазона. Приложение имеет красивые плавные анимации меню, поэтому я понял, что ЦП/GPU не такие уж и слабые; или, по крайней мере, ПО ест не слишком много ресурсов.
Как и со всеми остальными моими гаджетами, я решил немного поэкспериментировать и посмотреть, что можно сделать с этой системой.
Звездочки во время трассировки через IPsec
Недавно обратился клиент с вопросом почему у него при трассировке появляются звездочки. Трассировка проходила через IPsec тоннель, поэтому коротким ответом было: потому что IPsec не возвращает ICMP reply. Но у клиента также была проблема с маршрутизацией, причину которой он связывал со "звездочками". И все это происходило на фаерволе USG Huawei, с которым клиент имел дело впервые. Иными словами, коротким ответом он не удовлетворился.
Расщепляем Malware PDF. Практический разбор фишинга на примере GetPDF от Cyberdefenders.com
Привет, Хабр! Меня зовут Антон, я ведущий инженер по ИБ в компании R-Vision, принимаю активное участие в развитии экспертизы в части расследования инцидентов и реагирования на них. А в свободное время я увлекаюсь расследованиями в направлении Digital Forensics & Incident Response (DFIR), Malware Analysis.
В последнее время публичное пространство пестрит новостями о резонансных инцидентах в России и мире, связанных с фишинговыми атаками на крупные компании и государственный сектор.
Замечу, что одной из самых популярных техник взлома крупных мировых корпораций был и остается фишинг с вредоносным вложением T1566.001. Пожалуй, яркий тому пример – взлом Garmin в июле 2020 года, когда известный производитель умных устройств подвергся атаке хакеров-вымогателей. Преступники атаковали системы Garmin с помощью малвари WastedLocker. В результате, сервисы компании на три дня вышли из строя, так как авторы малваря зашифровали данные и требовали выкуп в размере $10 млн за ключи дешифровки.
Как известно, логика подобного проникновения в инфраструктуру довольно проста: атакующие проводят таргетированную фишинговую кампанию – targetor sprear[T1566.001], доставляют в корпоративную среду зловреды с помощью рассылки электронных писем с вредоносными вложениями и ссылками. Пользователь открывает файл (pdf, xlsx, docx и др.), тем самым запуская вложенный туда вредоносный код, который подгружает недостающие для атаки компоненты (вирусы, трояны, шифровальщики, бэкдоры и тд.).
В этой статье я не буду углубляться в тактики и инструменты фишинговых атак, а хочу поделиться с вами личным опытом разбора техники с фишингом вредоносного файла * pdf и наглядно продемонстрировать ход расследования подобного инцидента на примере лабораторного задания GetPDF с ресурса Cyberdefenders.
Время с качеством турбулентности: приключения сисадмина в мирах с волшебным порталом [квест]
Обычный сисадмин устроился в компанию «Омайя», про которую раньше и не слышал. Быстрый гуглёж дал понять, что это крупная организация, лидер в области каких-то физических штук, квантовых телепортаций и прочей научной магии.
Админу организовали краткий курс молодого бойца квантового мира. Выяснилось, что вместо классических консолей здесь используются методы квантового погружения в работу.
После небольшой вводной его отводят в рабочий кабинет. На стене висит девиз: «Работает — трогай!» Отдел, куда устроился герой, занимается тестированием и оценкой услуг облачных вендоров. Объект исследования на сегодня — облачный провайдер T1 Cloud с его решениями для бизнеса и разработки.
Обеспечение безопасности RPA
На протяжении последних пятнадцати лет роботы (RPA – robotic process automation) с успехом решают задачу избавления людей от рутинной работы. Программные роботы способны формировать отчеты, собирать данные, обрабатывать первичные учетные документы, управлять приложениями и т. п. Продукты RPA могут существенно ускорить и удешевить производственные процессы, поэтому число компаний, готовых внедрять программных роботов растет. Однако, с ростом популярности этих решений приходится задумываться об организации их безопасной работы. Программный робот по сути является ПО, за корректностью работы которого нужно следить.
Как правильно подойти к обеспечению информационной безопасности RPA решений – этой теме будет посвящена наша статья. Мы – команда разработки Efros Config Inspector кратко расскажем о своем опыте контроля безопасности RPA.
Модуль контроля
Если говорить в широком смысле, то большинство проблем безопасности RPA можно разделить на два больших блока — это комплаенс-риски и операционные риски.
Комплаенс-риски связаны с нарушением методики управления RPA. Операционные, включают потенциальную возможность неисправности систем, введения ограничений регуляторными органами и другие.
Применяемый нами модуль позволят существенно минимизировать ряд операционных рисков. Модуль, обеспечивает контроль:
- целостности файлов всех компонентов;
- изменения текстовых(читаемых) файлов конфигураций;
- изменения значений реестра;
- изменения прав файлов и папок, а также прав реестра.
Может показаться, что этого уже достаточно для безопасности, но мы пошли дальше и добавили возможность контролировать параметры среды через API, что позволило централизованно отслеживать изменения всех процессов, осуществляемых через платформу автоматизации. Рассмотрим эти возможности подробнее на примере Uipath:
Абстрактные анонимные сети
Среди анонимных сетей можно выявить класс систем максимально разграничивающих субъектов информации от их объектов, что приводит к возможности различных способов транспортирования информации. Из-за своей специфичной архитектуры передача информации может осуществляться в любой дуплексной среде, что полностью отрывает распространение объектов от своей сетевой архитектуры и переводит маршрутизацию в этап виртуального транслирования.
Простое развёртывание сетевой лабы на базе контейнеров
Часто сетевая лаба представляет собой довольно сложную конструкцию, состоящую из множества устройств, соединенных между собой. В этом помогает виртуализация, благо всякие маршрутизаторы и т.п. могут запускаться в виде контейнеров (скажем, Quagga) или виртуальных машин (здесь я рассмотрю Mikrotik).
Тем не менее развернуть лабу из нескольких устройств с множеством сетевых интерфейсов и подключений, к примеру, для проверки BGP, в том числе между устройствами разных производителей, задача нетривиальная. Можно, конечно, писать плейбуки Ansible для развертывания виртуалок на ESXi и последующей конфигурации устройств, но это само по себе достойная задача. Может быть что-то с vagrant изобразить…
Но недавно я узнал о проекте ContainerLab.dev и весьма впечатлился. Попробовал, оценил, впечатлился еще больше. Полез на Хабр почитать тонкости и хитрости, но, к удивлению, не нашел ни единого поста на эту тему.
Решил исправить. Вдруг кому-то еще облегчит жизнь.
Аналитик вам не инженер. Почему инженера недостаточно для работы с DLP-системой
Привет, Хабр!
Я @zlatomesto, работаю ведущим аналитиком в Angara Security. Еще в свою бытность работы аналитиком внедрения DLP-системы в одном из вендоров, неоднократно сталкивалась с тем, что внедрение DLP-системы служило хорошим обоснованием для открытия ставки в отделе информационной безопасности, так как с появлением нового программного комплекса значительно увеличивается нагрузка на сотрудников. И да, прежде всего нужен инженер, который будет заниматься поддержкой работоспособности такого сложного решения, установкой агентов. Но обеспечит ли инженер эффективность от внедрения продукта?
Summ3r of h4ck 2022. Итоги программы
Летняя обучающая программа завершилась, но для наших студентов это только начало. Итоги Summ3r 0f h4ck 2022 глазами ее участников и кураторов.
Не обновлениями едиными: как получить привилегии администратора домена без эксплуатации уязвимостей
Всем привет. Я чуть больше полутора лет занимаюсь внутренним пентестом. И вроде бы уже многое знаю, но всегда кажется, что этого недостаточно и хочется знать больше. Когда часто делаешь похожую работу, привыкаешь к одним и тем же действиям, инструментам, и нет идей, что бы еще попробовать. Иногда я черпаю вдохновение в отчетах своих коллег, но всегда интересно почитать о том, как работают и что используют другие команды. А раз это интересно мне, может, это интересно кому-то еще. Мы c командой решили тоже поделиться несколькими интересными киллчейнами. В этой статье я расскажу о последовательности шагов, которая привела к получению привилегий администратора домена в компании, в которой «почти все безопасно».
Подробнее — под катом.
showcert: проверяем сертификаты (без боли)
Этот пост не про какой-то большой и сложный проект, а про очень маленькую, простую утилитку showcert, мой маленький самодельный велосипед, который экономит время и нервы. Она не для тех, кто не знает, про утилиту openssl, а для тех, кто все знает, но когда хочет проверить дату истечения почтового сертификата яндекса, немного гуглит, потом сноровисто пишет:
$
echo | openssl s_client -connect mx.yandex.ru:25 -starttls smtp 2>&1 | openssl x509 -noout -dates
notBefore=Jul 25 11:16:45 2022 GMT
notAfter=Jan 22 20:59:59 2023 GMT
Когда я пишу эту строчку, мне приходят на ум много красочных многокоренных слов из флотской службы. А ведь я даже не служил... А теперь, представьте, что мы хотим не просто увидеть дату, а еще и как-то что-то сделать, если до истечения останется меньше N дней... как будет выглядеть команда?
А теперь сравните с:
$ showcert mx.yandex.ru:25
Names: mx.yandex.ru mx.yandex.net
notBefore: 2022-07-25 11:16:45 (15 days old)
notAfter: 2023-01-22 20:59:59 (165 days left)
Issuer: C=BE O=GlobalSign nv-sa CN=GlobalSign RSA OV SSL CA 2018
Ну разве не проще? showcert
сам, по номеру порта догадывается, как начать STARTTLS (но конечно же, это можно переопределить через опцию -t / --starttls
, например -t no
или -t imap
)
Предупредить о том, что сертификат скоро протухнет? Окей!
$ showcert mx.yandex.ru:25 -qw 200 || echo PROBLEM
mx.yandex.ru:25 expires in 165 days
PROBLEM
-q
- тихий режим, не печатать лишнего, только предупреждения, -w 200
- завершаться с кодом 1, если до протухания меньше 200 дней. (-w без значения, проверка на 20 дней, без -w проверка валидности сегодня).
Проверки файлов:
Выпустили пар: мошенники используют метод Browser-in-the-Browser для кражи аккаунтов у игроков на Steam
"Хочу рассказать историю, как я недавно лоханулся и потерял свой аккаунт Steam со 100+ играми и донатом на общую сумму больше 15 тыщ рублей". Или вот: "Несколько косарей в Стим вложено, и штук 20 игр, некоторые с дополнениями, на нем висит". Таких историй десятки, если не сотни. В июле специалисты Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB 24/7) обнаружили более 150 мошеннических ресурсов под один из самых популярных у геймеров онлайн-сервисов — платформу Steam. Для кражи логинов-паролей от учетных записей злоумышленники используют новую фишинговую технику Browser-in-the-Browser — из-за нее фейковые страницы довольно легко спутать с легальным ресурсом. Иван Лебедев, руководитель группы по защите от фишинга CERT-GIB, и Дмитрий Ерошев, аналитик CERT-GIB, разбирались, как работает новая схема.
Чего хотят клиенты: SOC по-быстрому, собственные плейбуки и мониторинг без SIEM
Мы продолжаем серию постов "Чего хотят клиенты". В них мы собрали самые популярные запросы, с которыми к нам, как к сервис-провайдеру ИБ, приходят различные компании, желающие подключить свою инфраструктуру к Security Operation Center (SOC). С какой бы стороны баррикад вы ни стояли (строитель SOC или заказчик), надеемся, наш опыт будет вам полезен. В этом посте речь пойдет про тех, кто не понаслышке знает, что такое SIEM, возможно работали в SOC и основная их цель – защита от киберугроз. Но они не так погружены в вопрос, что в итоге приводит к своеобразной постановке задач.
Security Week 2233: неудачная кибератака на Cisco
Атака была успешной лишь наполовину: злоумышленникам удалось проникнуть в корпоративную сеть Cisco и даже получить доступ достаточно высокого уровня, вплоть до контроллеров домена. Тем не менее атака была остановлена до нанесения серьезного ущерба. Утекло лишь содержимое корпоративного облачного хранилища одного пользователя, в котором не было секретных данных. С этим скудным результатом организаторы атаки пытались требовать выкуп, но безуспешно.
Вклад авторов
-
alizar 21235.3 -
marks 9200.7 -
ptsecurity 8573.5 -
LukaSafonov 6161.6 -
ValdikSS 5478.6 -
GlobalSign_admin 4604.9 -
Kaspersky_Lab 4053.9 -
esetnod32 3275.0 -
zhovner 2947.0 -
Jeditobe 2709.8