Sachok

Хоп, хей, слив Graykey!

На днях журналистам из 404 Media некие добрые люди передали интересные таблички, содержащие в себе подробное описание Graykey. Полюбоваться их содержимым можно тут и тут.

Graykey — это продукт компании Grayshift, предназначенный для получения доступа к смартфонам. Его широко используют следственные органы разных стран. Проще говоря — шайтан-коробочка, которая потрошит смартфоны, включая iPhone, Samsung и даже наши любимые Xaomi. Посмотреть как она выглядит можно в официальном промо-ролике.

Достоверность данных подтвердили сразу несколько независимых источников. Ценность самих данных, при этом, не очень велика — некоторую часть информации из табличек можно буквально найти на официальном лендинге Grayshift и в их промо-материалах.

Некоторые издания делают сенсацию из того, что этот инструмент не может взламывать Айфоны под ОС 18 и 18.1. Но это и не удивительно, ведь появилась обновленная ОС только в сентябре, и в Grayshift просто еще не успели купить под нее эксплойт подобрать соответствующую открывашку.

История интересна не столько слитой информацией, сколько ее источником. Кто и при каких обстоятельствах слил 404 Media информацию о возможностях Graykey мы не знаем. Но интуитивно хочется поставить на инсайдера внутри компании.

Кстати, российских мобильных ОС в списке мы не заметили, чем не аргумент для потенциального экспорта в загнивающие капстраны?

@cybersachok

Приняли в реестр РКН

Через 10 дней вступают в силу новые правила, по которым VPN нельзя будет упоминать. Эта информация будет считаться запрещенной в РФ.

Мы уже готовимся к вступлению в силу нового законодательства и заменили в текстах и постах на всякий случай абреввиатуру из трех букв на ЗАПРЕЩЕННАЯ В РФ ИНФОРМАЦИЯ.

Как это будет выглядеть — на скриншоте.

Живем по понятиям правового поля. И вы живите по понятиям тоже!

В Америке ожидают откат инициатив по кибербезу

Не так давно мы говорили о политизации сферы информационной безопасности. И вот, в США назревает интересный кейс, связанный с приходом к власти нового президента.

За последние четыре года в Штатах было много инициатив, направленных на разные аспекты кибербеза. Это и регуляторика внедрения ИИ, и судебные разбирательства с вендорами спайваре-софта (привет, NSO Group), и много чего еще. Можно отметить успехи американских спецслужб в борьбе с шифровальщиками — даже за последний год мы видели несколько громких кейсов, включая LockBit.

Американские медиа переживают, что администрация Трампа пустит все эти усилия по ветру. Тревожные звоночки и правда есть. Например, инициатива сенатора Рэнда Пола по упразднению или весомому ограничению полномочий CISA.

И в США, и в мире, и в России, немало людей сочли это признаком грядущей деградации американских ИБ-программ. На самом деле это не так.

Важно помнить, что именно во время президентства Трампа CISA и появилась. Основные претензии со стороны республиканцев связаны с тем, что агентство активно ввязалось в цензурирование юэсэй-нета, включая и выборы.

Поэтому не стоит ожидать, что новая администрация президента выбросит CISA на свалку истории. Скорее всего, деятельность агентства будет:

1) В большей степени направлена на защиту критической инфраструктуры, а не на работу с повесткой в стране.

2) Подвержена контролю со стороны Сената. С одной стороны — меньше самостоятельности, с другой — меньше распыления.

Наивно полагать, что отдельным сенаторам-популистам дадут развалить важное в современных реалиях агентство. Еще более наивно думать, что государство позволит бизнесу диктовать условия и выбивать поблажки в сфере ИБ там, где это напрямую касается широких масс населения.

@cybersachok

Сноуден записал весь бигтех в оборотни

На днях наш соотечественник Эдвард Сноуден выступил хедлайнером на конференции NEAR [REDACTED] в Бангкоке. Был бодр, улыбался, ел орешки кешью.

Сама конференция посвящена AI и блокчейн-технологиям, но выступление Эда посвящено как раз вопросам приватности в условиях быстро развивающихся технологий.

Доклад получился довольно философским, есть несколько интересных тейков:

1) Цифровой суверенитет возможен только при существовании собственных систем и моделей. Речь о тех-самых независимых и прозрачных блокчейн-системах, web 3.0. Но и на контекст цифрового суверенитета государств тоже хорошо ложится, чем не популяризация импортозамещения?

2) Бигтех наплевал на приватность и активно использует все доступные данные для обучения нейросетей, алгоритмов и других продуктов. Проще говоря — монетизирует своих пользователей по максимуму, в ущерб их правам и интересам. Трудно поспорить.

3) Все нейросети из всего многообразия делают нечто усредненное, с небольшим n-процентом оригинальности.

4) В мире господствует усредненный показатель, который выгоден бизнесу и государству. Это убивает идентичность.

В конце Сноуден призвал всех развивать критическое мышление и заниматься саморефлексией.

Можем порадоваться за пентестеров, которые специализируются на взломе AI/ML, их будущее в этом контексте выглядит светлее некуда.

@cybersachok

VK анонсировали свою конференцию по информационной безопасности VK Security Confab Max. Пройдет она в самый жаркий месяц года — 11 декабря.

Судя по анонсу, на мероприятии в приоритет поставили 5 основных направлений: SOC, AppSec, безопасность пользователей, облаков и инфраструктуры.

Помимо технических докладов обещают закатить афтепати.

Сейчас еще есть время для подачи заявок экспертов (до 29 ноября), желающих выступить со своим спичем на конференции.

Ну а если 11 декабря вы суперзагружены, то можно будет посмотреть конференцию в онлайн-трансляции.

@cybersachok

Бонни и Клайд: хакерская версия

В недалеком 2022 году в любовное гнездо россиянина Ильи Лихтенштейна и американки Хизер Морган ворвались копы с обвинениями в грабеже дилижансов взломе биржи Bitfinex и кражу 120 тысяч биткоинов.

И, кажется, у этой истории будет счастливый конец. Илья уже получил от американского суда пять лет. Изначально хакеру грозило 20 лет за факт кражи и еще 5 за мошенничество. С учетом примерного поведения и уже проведенного в заключении времени — у него есть все шансы скоро оказаться на свободе.

Хизер Морган, вероятнее всего, получит еще меньше. Решение суда должно быть принято как раз сегодня, 18 ноября.

Когда в 22 году американские силовики смогли вернуть чуть более 90 тысяч биткоинов с счетов парочки, Минюст назвал это крупнейшей конфискацией в истории.

Немного цифр: на момент кражи это был "скромный" 71 миллион долларов. На момент изъятия Минюстом — уже 4,5 миллиарда, а на сегодняшний день и вовсе крышесносные 11 миллиардов долларов. Ставь лайк если в 2012 потратил 200 биткоинов на покупку скина в игрушке или пиццу.

Не только мы следим за приключениями гангстерской парочки — желание снять о них сериал изъявил НТВ Netflix. А Forbes планирует выпустить документальный фильм.

Остается только один вопрос: если 90 тысяч биткоинов удалось вернуть, то кто приделал ноги оставшимся 30 тысячам?!

@cybersachok

Как сделать работу в контейнерных средах безопасной?

Узнайте на бесплатном вебинаре «Защита контейнерных сред с помощью Policy Engine и Service Mesh» от СберТеха.

Обсудим риски работы в контейнерных средах и вклад Policy Engine и Service Mesh в обеспечение безопасности кластеров Kubernetes (на примере open source решений и линейки российских продуктов Platform V Synapse от СберТеха).

Разберем темы:

• Контейнерные среды в рантайме: защита на уровне реестра, оркестратора и контейнеров.
• Policy Engine и его роль в управлении политиками безопасности и конфигурациями.
• Знакомство с Kubelatte и возможностями по мутации, валидации и генерации объектов Kubernetes.
• Service Mesh для безопасности трафика, включая шифрование, контроль конфигураций приложений и кластеров, мониторинг состояния кластеров.
• Преимущества решений Platform V Synapse по сравнению с open source.

Спикер: Максим Чудновский, главный руководитель направления Platform V Synapse, СберТех.

Вебинар пройдет 19 ноября в 11:00.

Регистрируйтесь по ссылке!

Про нацию хакеров

В одном из своих выступлений Юрий Максимов сказал что россияне — это «нация хакеров». И действительно, даже за последние годы мы научились, например, находить способы купить игры на PlayStation и другой заграничный софт, проводить платежи без SWIFTa и много чего еще.

Но тут один индус попросил подержать его пиво.

Парень из страны специй и дешевых разработчиков приобрел для своей бабули AirPods Pro 2 в качестве слухового аппарата. Но быстро выяснилось, что этот функционал в его регионе недоступен. Почему недоступен, кстати, вообще не понятно.

Наш герой оказался не так прост и включил то самое хакерское мышление. После того, как смена IP-адреса не помогла, он засунул iPad вместе с платой ESP32 в микроволновку.

Плата отправляла запросы через сотню SSID-адресов в Калифорнии, а СВЧ-печь выполняла функцию клетки Фарадея и глушилки для Wi-Fi.

После четырех часов такой «прожарки» iPad убедился, что находится в США. Затем к нему подключили AirPods Pro 2 и наконец активировали режим слухового аппарата.

Какая тут мораль? Чем больше в киберпространстве ограничений, тем больше людей научатся их обходить.

@cybersachok

Рейтинг защищенности от ФСТЭК: кого ждет «черная метка»?

Федеральная служба по техническому и экспортному контролю планирует вести рейтинг объектов критической информационной инфраструктуры по уровню информационной безопасности.

По словам замдиректора ФСТЭК Виталия Лютикова, рейтинг будет составляться на основе коэффициента, который присваивается компаниям по результатам государственного контроля или данных о компьютерных инцидентах.

Служба планирует автоматизировать этот процесс и предоставить руководителям возможность видеть свою текущую оценку в реальном времени.

Примечательно, что ФСТЭК уже провела тестовый анализ ста объектов КИИ, из которых девяносто попали в красную зону. По итогу им было направлено аж 170 рекомендаций по исправлению.

Правда, никакой ответственности для организаций, которые продемонстрируют низкий уровень защищенности, не предусмотрено. Получается что «черную метку» уже придумали, но последствия для объектов КИИ она пока что не несет.

Ключевое тут — пока что.

@cybersachok

Тарификация ЖКХ уязвимостей

Минцифры рассматривает введение «государственных трафив» за найденные в рамках багбаунти уязвимости — такой информацией на прошлой неделе поделился Александр Шойтов, заместитель министра Минцифры.

Вопрос пока что находится на стадии очень раннего обсуждения, но уже можно предположить, что основная аудитория тарифов — это федеральные и региональные ГИСы, которые за последний год идут на багбаунти достаточно активно.

Сейчас вполне можно найти региональную программу, где за critical-уязвимость полагается выплата в 30-50 тысяч рублей. При наличии общих тарифов владельцам багбаунти-программ, по идее, будет проще обосновать бОльший бюджет перед своими финансовыми отделами. Но это при условии, что тарифы будут соответствовать рынку.

В теории, тарификация багбаунти может быть полезна и для бизнеса. Многие компании не запускают полноценные багбаунти-программы, но взаимодействуют с исследователями безопасности. В таком случае у них появится наглядный ориентир по минимальным выплатам — сократится количество случаев, когда за найденную багу исследователю будут предлагать ветку бонусы.

Есть и обратная сторона — не совсем порядочные багхантеры могут преподносить этот стандарт как обязательный, и пытаться требовать баунти с рандомных компаний, набив пачку уязвимостей сканером.

Тема сложная, рисков много, поэтому будем с интересом наблюдать за развитием событий.

@cybersachok

Среди тонны дискуссий о том, как изменить мир ИБ к лучшему на SOC Forum, удалось найти интересную пленарную дискуссию «Хакнуть будущее: кибербезопасность как конкурентное преимущество».

Внимание мое особенно привлекли некоторые тезисы Дмитрия из желтого банка и Ивана Вассунова из RED Security, который говорил именно в контексте рынка и трендов для него.

- В 2024 году количество кибератак выросло в 1,5-2 раза по сравнению с прошлым годом. Именно поэтому кибербезопасность перестала быть просто опцией, теперь это УТП для компаний.

- В стартапах на самых ранних этапах можно забить болт на ИБ, но как только попрет — сразу бежать за ИБ-сервисами, чтоб самим не заморачиваться.

- Атаки через подрядчиков увеличились на 50%, а целенаправленные атаки — на 60%, поэтому пентестим контрагентов до посинения.

- Не просто инструменты, а результат. Пора переходить от предложения отдельных сервисов и продуктов к комплексным решениям, которые дают реальную ценность заказчикам.

Лично мне показалось, что в Иване Вассунове есть много той энергии, которая позволяет людям менять тренды в отрасли и задавать направление корабля.

Эта энергия называется трезвым умом и здравым смыслом, чего сейчас многим не хватает.

Пищи для размышления после этой дискуссии осталось много. Советую посмотреть запись с SOC Forum, когда она появится.

@cybersachok

Кампания EmeraldWhale: 15 000 краденных учетных данных на левом хранилище

Исследователи из Sysdig опубликовали историю о том, как на их ханипот прилетел интересный вызов. В результате изучения они обнаружили общедоступное хранилище S3 с джентельменским набором из вредоносных программ и более чем терабайта информации, самая чувствительная из которой — более 15 000 учетных данных от частных репозиториев.

По словам экспертов, для сбора информации злоумышленники использовали автоматизированные инструменты, которые сканировали диапазоны IP-адресов в поисках доступных конфигурационных файлов Git, где могли содержаться аутентификационные токены.

Найденные таким способом токены использовались для выгрузки репозиториев с GitHub, GitLab и BitBucket, а затем злоумышленники искали в них дополнительные учетные данные.

Простор для дальнейшей монетизации у EmeraldWhale достаточно широкий: от прямой продажи учетных данных, до проведения фишинговых кампаний и спам-атак.

Часто ли подобные факапы случаются с киберпреступника? И да, и нет. Как правило, это дело случая — причиной поимки киберпреступника, даже опытного, может стать банально "отвалившийся" ЗАПРЕЩЕННАЯ В РФ ИНФОРМАЦИЯ.

Бывают и действительно анекдотические истории. Например, с пользователями стилеров, которые запускают ВПО на своих домашних машинах и их данные улетают в базу стилера.

А нам остается только наблюдать и верить, что после каждого лайка на этом посте очередной black hat зашифрует свой ПК вместо жертвы.