Пост Лукацкого

Очередной канал ИБшных мемасикоа. Еще и про самураев немного опять же 😀

#юмор

Вчерашняя задача 🧮 является по сути переписанным на ИБ "парадоксом Монти Холла", что многие верно и отметили в комментариях. Ее суть в том, что интуитивно кажется, будто шансы найти RCE-уязвимость при переключении или при «упорстве» одинаковы — 50/50. Но математика говорит обратное: если вы смените выбор, вероятность найти заветную RCE повышается с 1/3 до 2/3 🧮

Почему так происходит? ❓
1️⃣ Когда вы впервые выбираете вектор атаки, шанс угадать правильный (где спрятана RCE) — 1/3.
2️⃣ Следовательно, с вероятностью 2/3 RCE была не в выбранном вами векторе.
3️⃣ "Ведущий", обладающий полной информацией (TI или ИТ в "моем" примере), специально показывает вам пустой вектор из оставшихся двух, отсекая "заведомо известные уязвимости" и не трогая тот вектор, где может скрываться реальная RCE.
4️⃣ Если ваш первый выбор был неверным (а это происходит с вероятностью 2/3), то другой нераскрытый вектор — и есть тот самый с RCE. Поэтому при переключении с вероятностью 2/3 вы наткнетесь на настоящий RCE 🤕

Применительно к кибербезопасности, это напоминает ситуацию, когда вы (как пентестер) пытаетесь вычислить, какой из трех уязвимых участков в целевой или ключевой системе наиболее ценен 🗡 для получения несанкционированного доступа. Если вы узнали, что в одном из выбранных вами изначально сегментов ничего интересного нет (только давно известные уязвимости с минимальной ценностью для вас), то зачастую выгоднее переключиться на третий, еще не изученный вектор, — это повышает ваши шансы обнаружить "ту самую" RCE 😵

"Парадокс" в том, что наша интуиция может подсказывать "лучше не менять вектор, если уж начал его изучать", но холодный расчет и теория вероятности говорят о том, что переключение — более выигрышная стратегия 🔓

#принятиерешений #пентест #оценказащищенности

Позволю себе высказать несколько идей по улучшению ИС "Антифишинг" от Минцифры с точки зрения эргономики (usability) и удобства использования, опираясь на последний случай "общения" с этой системой: ✍️

1️⃣ Необходимо предусмотреть возможность указания нескольких доменов в одной заявке через запятую 🔗 Заполнять десяток заявок на 10 доменов - это too much. Упрощать жить себе конечно важно, но это приводит к тому, что пользователи не будут заморачиваться. Можно было бы прикрутить форму отправки файла txt с доменами или вообще распознавалку доменов с картинки сделать (у меня это даже на компе встроенная функция) 📎

2️⃣ Не надо заставлять пользователей указывать http или https 🖥 Это несложно в автоматическом режиме уже на стороне ИС проверять. Тем более, что если я заполнил заявку на домен с HTTPS, я не пойду отдельно проверять, есть ли у него HTTP-версия. А это, как мне кажется, упущение, так как "нет заявки - нет блокировки". Задача элементарно автоматизируется ⚙️

3️⃣ Дата обнаружения - это лишнее 🗓 Во-первых, большинство людей отправляет заявку в день обнаружения, а не откладывает на потом. То есть в 99% это будет текущая дата. Во-вторых, время обнаружения - это тоже too much. В конце концов, дата и время регистрации домена элементарно определяется в автоматическом режиме через whois 📆 И посчитать разницу между временем отправки заявки и временем регистрации домена - вот и будет некая метрика для оценки.

4️⃣ Зачем нужно указание e-mail тоже не очень понятно 📩 Да, я получил на почту уведомления о регистрации моих заявок на инциденты в ИС "Антифишинг". Но мне, если честно, все равно, кто и как их там регистрировал и что будут делать дальше. Я свой гражданский долг выполнил, сообщив о фишинговом домене, дальнейшая судьба которого меня мало интересует 💬 Я все равно все уведомления удалил сразу.

5️⃣ Чекбокс о том, что моя заявка - это не жалоба, тоже лишний. Достаточно просто DISCLAIMER повесить у кнопки "Отправить" 🛫

6️⃣ Указание языка тоже лишнее. Нормальные сайты автоматом подставляют нужный язык в зависимости от настроек браузера или IP посетителя 😱

В итоге, лишних 14 нажатий на клавиатуре (минимум; зависит от длины e-mail) и 5 (минимум) кликов. Я бы оставил только два поля - "фишинговый URL" и "URL перехода", которые и просил бы заполнять пользователя. Все остальное собирать в автоматическом режиме либо на этапе обработки заявки, либо на последующих этапах 🤔

#фишинг #минцифры

Раз уж начал следить за обрывами ✂️ подводных кабелей связи, то продолжу. Хотя бы для того, чтобы в одном месте все было и потом можно было целую картинку составить. Очередной обрыв. Одни пишут про бытовые причины, другие - про умышленные действия 🚠 Как по мне, так атрибуцией пусть занимаются те, кому по должности положено. А специалистам ИБ просто надо держать в голове сценарий возможного временного прерывания или полного отключения каких-либо зарубежных сервисов... 🌐

#Интернет

Интересная история, которая показывает, к чему приводят запреты и несогласованность действий органов власти, ответственных за цифровизацию, нацбезопасность и контроль за ними. Иностранец, въезжающий в Россию и желающий официально купить SIM-карту, сделать этого не может. Чтобы купить российскую SIM-карту надо зарегаться на Госуслуги, а чтобы зарегаться на Госуслугах надо иметь российскую SIM-карту. Замкнутый цикл 🤦‍♂️

Как верно обратили внимание в чатике канала, описанная мной в субботу схема фишинга выглядит странно. Она рассчитана на тех, кто въезжает в страну и пока еще не имеет российского номера, но при этом запрашивается российский телефонный номер для проверки 🤔 А получить такой номер иностранец легально не может.

Но сама история с этими бесконечными и бессмысленными запретами, конечно, уже порядком поднадоела.

#регулирование #суверенитет

В канале у Wylsacom опубликована история пользователя, девушку которого развели 🥷 по схеме, схожей с тем, что я недавно описывал применительно к CrowdStrike. Сначала приглашение на работу, необходимость зарегистрироваться через CRM будущего работодателя для решения тестовых заданий... 🧑‍💻 Правда, в данном случае, цель киберпреступников заключалась в другом.

Под личиной работодателя, зарегистрированного на hh.ru (он оказался то ли фейковым, то ли скомпрометированным), они попросили жертву зарегистрироваться в amoCRM под учеткой в iCloud 📱 Потом выманили у нее пароль и код многофакторной аутентификации от iCloud и... все, финита ля комедия. iPhone заблокирован, требование выкупа, отказ в выплате, потеря доступа к устройству и продажа его на запчасти... 📱

Есть подозрение, что киберпреступники могут в этом году вернуться к практике вымогательств у частных лиц, которая была популярна незадолго до COVID-19, пока они не переключились на юрлиц. А уж схема с фейковыми работодателями станет все более популярной, учитывая грядущие сокращения, о которых пишут СМИ.

ЗЫ. Спасибо подписчику за присланный кейс.

#инцидент #фишинг

Пока вы тут с теорией вероятности разбираетесь, результативная ковровая DDoS-атака наступает на киберпространство ☠️

#ddos

Представьте, что вы пентестер и проводите анализ защищенности инфраструктуры. У вас есть три потенциальных вектора атаки:
🔤 Веб-приложение
🔤 Сетевое оборудование
🔤 Подрядчики.

За одним из этих векторов скрывается опасный 0-Day в виде RCE-уязвимости, которая дает полный контроль над анализируемой инфраструктурой. За двумя другими — давно известные и безопасные уязвимости, которые уже пропатчены.

Вы выбрали один из векторов (допустим веб-приложение), но до его проверки вам кто-то (например, ваша служба Threat Intelligence или коллега из ИТ-подразделения) говорит: «Смотри, вот по этому вектору точно ничего интересного нет» и показывает один из двух оставшихся и невыбранных вами векторов (например, сетевое оборудование), который оказывается пустышкой.

Теперь у вас выбор:
1️⃣ Оставить свой первоначальный выбор, то есть веб-приложения.
2️⃣ Переключиться на второй, ещё не проверенный, вектор, то есть подрядчиков.
Вариант, что вы не поверите TI или коллеге на слово и будете долбиться через вектор сетевого оборудования я исключаю для простоты задачи.

Как вы поступите? 👇 Отвечая, попробуйте абстрагироваться от конкретного вектора атаки. Вместо них могли бы быть средства защиты, нормативные документы и любые иные вещи и явления.

#принятиерешений #пентест #оценказащищенности

А теперь видео с пенсионерами 👵 на другой стороне! Нет, не на стороне киберпреступников. На стороне тех, кто им противодействует, а не становится жертвой! 🎅

#юмор

И снова два морских кабеля обрезано ✂️ На этот раз между Тайванем и островами Мацзу. Эти коммуникации обеспечивают Интернетом, среди прочего, и Малайзию, из которой я вчера вернулся. Выводов не будет; число случаев уже приближается к десятку и все, что нужно я уже писал ранее (поиск в канале по слову "кабель") 🚠

Иногда и не поймешь, у тебя Интернет не работает, потому что кто-то кабель обрезал, а ты попал ровно в момент, когда маршрутизация еще не перестроилась. Или некто на три буквы борется с негативной информацией и опять что-то не так заблокировал. А может просто выборы где-то и на это время граждан решили отключить от некоторых сервисов, как в Беларуси.

#Интернет

Украинский CERT сообщает о том, что неизвестные злоумышленники 🎩 пытаются от имени CERT-UA подключаться к компьютерам пользователей с помощью ПО для удаленного доступа AnyDesk. В целом, кейс достаточно стандартный и если бы не имя организации, под которую маскируются хакеры 💻

Важный момент - CERT-UA и правда использует AnyDesk 🧑‍💻 при расследовании инцидентов и удаленном подключении к инфраструктуре своих "клиентов". Надо отметить, что это не первый случай. "От имени" СБУ уже реализовывались схожие активности. Новозеландский CERT также становился жертвой подмены, как и отечественные регуляторы - ФСТЭК, НКЦКИ, Роскомнадзор, ФинЦЕРТ 🖥

Рекомендации для защиты от такой напасти я уже давал. Американцы и их коллеги из "Альянса пяти глаз" тоже выпускали свои рекомендации. Ну и не забываем про множество рекомендаций по безопасному удаленному доступу от НКЦКИ, ФСТЭК и др., опубликованных во время COVID и после, когда пытались бороться с удаленкой после начала СВО ✍️

#инцидент #фишинг