Традиционно в канун Нового года и Рождества мы просим наших аналитиков поделиться самыми запоминающимися инцидентами уходящего года. Итак, в финальном дайджесте 2023 года рассказываем о краже корпоративных секретов, мнимых тружениках, утечке генетической информации и очень мстительных сотрудниках.
Всем привет! Наверняка вы заинтересованы в сохранении собственной анонимности, обхода цензуры и сторонники конфиденциальной работы в сети.
Существуют множество методов обхода блокировок и обеспечения анонимности - VPN, прокси-серверы и другие инструменты, но сегодня я расскажу об одном лёгком способе - вместо того, чтобы использовать официальные, закрытые и не конфиденциальные сайты, мы будем использовать альтернативный фронтенд.
В этой статье я приведу список сайтов, с кратким их описанием и инструкцией.
Начинаем!
Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор остаются уязвимыми для нее. Очередной пациент — библиотека на TypeScript @clickbar/dot-diver. Уязвимость CVE-2023-45827 исправлена в версии 1.0.2 и выше, поэтому мы со спокойной душой расскажем, что могло произойти с вашим продуктом, но, к счастью, не произошло.
Под катом читайте о том, как нужно было пользоваться библиотекой, чтобы точно столкнуться с уязвимостью Prototype Pollution. Мы, кстати, писали про нее в своем телеграм-канале POSIdev — там свежие новости про безопасную разработку, AppSec, а также регулярные обзоры трендовых угроз и наша любимая рубрика «Пятничные мемы».
Всем привет, с вами я - доктор Аргентум. И сегодня я изучил фильмы и сериалы про IT, ИБ и другие произведения, связанные с ними. Я постарался включить в этот топ фильмы и сериалы, про которые вы могли не знать.
Хоть сегодня и понедельник, зато вы сразу можете выбрать фильм на выходные!
Погнали!
Есть два ключевых подхода к защите ИТ-систем: реактивный и превентивный. Реактивный — это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности. Превентивный подход подразумевает обнаружение и минимизацию возможных угроз.
Для выстраивания комплексной системы безопасности следует внедрять оба подхода. Но ресурсов собственного штата ИБ-специалистов не всегда хватает. Чтобы решить кадровую проблему и повысить безопасность, компания может обратиться к облачному провайдеру, который обеспечивает безопасность с помощью портфеля готовых сервисов.
Так у МТС есть собственный Security Operation Center для комплексной защиты всех ресурсов клиентов от киберугроз при помощи мониторинга и реагирования 24/7 на инциденты ИБ. Изначально SOC защищал исключительно инфраструктуру МТС и дочерних предприятий, но со временем ИБ-услуги стали доступны всем клиентам.
В другом сценарии (который, впрочем, легко реализовать не вместо облачных сервисов, а вместе с ними) специалисты по кибербезу действуют своими силами и используют открытые технологии. Сегодня мы остановимся на знакомстве с некоторыми интересными open source (Apache License 2.0) инструментами для ИБ-аудита, превентивной защиты и организации безопасных инфраструктурных решений.
Задание: необходимо прочитать Micro QR Code версии М2, содержащий кодовое слово, состоящее из цифр (на примере – 99999999 и максимальном кодовом расстоянии – 9999999999; почему выбрано именно такое количество цифр будет также расшифровано) на основе алгоритма, приведенного в ГОСТ Р ИСО/МЭК 18004-2015 (п. 7.4.3, пример 2). Аналогично версии М1 данный режим невозможно прочитать стандартными ресурсами мобильных устройств, производимых GAFAM (как оказалось, свободно распространяемые библиотеки страшно глючат, поэтому Ассоциация отказалась и от этого режима).
Для начала нужно определиться: а зачем это кому-то нужно? В интернете существует такое мнение: "Мне скрывать и бояться нечего, на моем компьютере брать нечего". Это суждение ложное. На любом устройстве, подключенном к сети Интернет, всегда есть что-то, что может использовать злоумышленник. Например, вашу цифровую личность, ваши платежные данные, ваши аккаунты от различных сервисов. Например, у меня один раз украли аккаунт доставки роллов, и с него по непонятной причине заказывали роллы. Никаких бонусных баллов там не было, но факт остается фактом.
Ваш компьютер могут использовать в качестве прокси-сервера для совершения преступлений. Если вы поинтересуетесь в интернете о покупке прокси, то увидите множество так называемых "пакетных" предложений. Это когда за определенную сумму вам дают сразу тысячи прокси. Все это — скомпрометированные машины людей, которые думали, что у них нечего брать. Реальные IPV4 обычно стоят от 1 доллара за штуку в месяц.
Помимо того, что интернет будет работать медленнее, ваш IP-адрес могут занести в различные спам-базы. При заходе на любые сайты, в том числе на Google, будет вылазить капча, и это в лучшем случае. В худшем случае с IP-адреса, зарегистрированного на вас, могут совершить преступление. Как думаете, куда пойдет товарищ майор? К неизвестному злоумышленнику, использующему цепочки прокси или VPN, или к человеку, на чьи паспортные данные оформлен договор с провайдером?
Secpy-Chat — это простой консольный мессенджер со сквозным (end-to-end) шифрованием, работающий поверх сервисов анонимной сети Hidden Lake. За счёт своей простоты его можно редактировать, либо даже полностью переписывать на более любимую технологию или язык программирования. За счёт использования HL сервисов появляется возможность легко формировать децентрализованную коммуникацию в глобальной сети.
О токенах, используемых в операционных системах семейства Windows слышали многие, ведь они являются важным звеном, участвующим в контексте безопасности всей операционной системы. Данная статья является результатом моих наработок о токенах. В ходе написания данного материала я ставил перед собой следующие вопросы: откуда берутся токены? как устроены токены? как это работает на практике?
Парольная фраза (passphrase), часто называемая «кодовой фразой» или «25 словом», является частью предложения BIP-39 и создает дополнительный слой безопасности для вашего сида. Благодаря парольной фразе, пользователь может создать несколько кошельков на основе одной и той же сид‑фразы. Эта статья расскажет о том, как лучше всего выбрать парольную фразу и обезопасить свои монеты.
Встроенные в Micro QR Code технологии насыщенны мифами и нереальностями. Программисты моделисты часто добавляют артефакты и/или cookies в свои наработки, которые интересно находить при расшифровке кодов и алгоритмов. А затем и самому кодировать и декодировать практически любую информацию. Рассмотрим этапы расшифровки микрокода среднего микроуровня – М3 формата алфавитно-цифрового кодирования на том же самом историческом примере, что и М2, и М4, аналогично М2 разделим сплошную фразу на четыре слова, получим: UNITED STATES OF AMERICA.
В данной статье мы поговорим об устройстве протокола TCP, самой популярной атаке на него – SYN-flood, а также реализуем её на практике и рассмотрим как от неё защититься.
Самой важной составляющей стратегии защиты ваших биткоинов являются сид-фразы. Ваш сид - все, что нужно, чтобы распоряжаться своими монетами: из этих 12 или 24 слов генерируются ключи, которые позволяют тратить ваши средства. Естественно, эта информация является критической и должна храниться в секрете.
Случившиеся со мной и моими коллегами истории заставили задуматься - а как вообще обстоят дела с цифровыми правами потребителей? Эти размышления о опыт изысканий в области нарушения этих самых прав породили достаточно длинную статью ниже. Рассуждения не являются истиной, выбитой в граните, можно критиковать и добавлять.
Мы в нашем тексте понимаем «цифровые права» понимаем большую совокупность прав широкого круга лиц в цифровой среде. Законодательное определение в России сегодня имеет свои узкоспециализированные нюансы, о которых мы тоже поговорим.
К определению цифровых прав может быть несколько подходов. Например, цифровые права — это права человека, заключающиеся в праве людей на доступ, использование, создание и публикацию цифровых произведений, доступ и использование компьютеров и иных электронных устройств, а также коммуникационных сетей, в частности, к сети интернет. Это довольно узкий подход, потому что согласной ему даже в Китае, Иране и Мьянме, находящихся в анти-топе рейтинга цифровых прав, все не так уж плохо.
Другой подход определяет цифровые права как ряд прав человека, относящихся к Интернету. Эти права наследуют тем, что существовали в эпоху, когда интернета еще не существовало. К ним относятся свобода выражения мнений, неприкосновенность частной жизни и свобода объединений. Также к цифровым правам относятся и права на образование и многоязычие, а ещё, что особенно важно и от чего часто отмахиваются, — права потребителей.
Мы много писали об этом, рассматривали с самых разных сторон. Как правило — получали очень живой отклик в соцмедиа, ведь с фокусами относительно персональных данных от самых разных компаний сталкивается постоянно огромное количество людей. Хотя находились и защитники действий бизнеса, рассказывая нам, впрочем, те же клише, что транслируют и его представители: «это для вашего удобства».
Я много бывал за последнее время на разных ИБ‑мероприятиях, где проходили различные киберучения. Много писал об уязвимостях, об ИБ‑решениях, борющихся с ними, специалистах, выявляющих бреши в инфраструктурах. И как раз на последней ИБ‑конференции я решил поговорить с одним из участников киберучений. Тем более для меня понятие «пентест» всегда было очень расплывчатым, я мало сталкивался с ним по работе в IT. Вопросы я задавал иногда очень простые (они могут даже показаться глупыми), но хотелось понять портрет практикующего пентестера. Итак, я поговорил с руководителем отдела анализа защищённости Angara Security Михаилом Суховым о работе пентестера и его стандартных инструментах. Приятного чтения!
Рассмотрим этапы расшифровки микрокода среднего микроуровня – М2 формата алфавитно-цифрового кодирования на том же самом историческом примере, что и М4, но в этот раз разделим сплошную фразу на четыре слова, получим: UNITED STATES OF AMERICA
Уже смотрели нашумевший сериал «Кибердеревня»? Сказка, скажете вы? С одной стороны, можно сказать и так, а с другой, многие из атрибутов этой сказочной «кибердеревни» уже внедрены в реальное сельское хозяйство! Роботы, Интернет вещей, искусственный интеллект - всё это уже сегодня используется на агропромышленных предприятиях по всему миру.
В статье автор подробно раскрывает эту сторону функционирования современных ферм, а также подсвечивает важный аспект, которому не было уделено достаточного внимания в сериале - кибербезопасность.
Мы поговорили о DDoS-атаках с аналитиком команды защиты инфраструктуры в компании DDoS-Guard Петром Макаровым. Узнали, почему защита обратным проксированием на уровнях L3-L4 — это лукавство, в чём минусы блокировки трафика по IP, какую защиту от атак выбрать при ограниченном бюджете и как менялся характер DDoS-атак за последние годы. Обещаем, будет интересно, — загляните под кат.
Продолжаем следить за тем, как меняется ситуация с интенсивностью DDoS-атак и поведением хакеров. Спрогнозированный еще в прошлом году «кибершторм» из атак рекордной мощности пока полностью оправдывает ожидания.
