logo
[ИБ: 101]# netstat -ib
Теория ИБ от практика
logo
[ИБ: 101]# netstat -ib  Теория ИБ от практика
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте

ОБ АВТОРЕ [Зиннятуллин Тимур]

14 лет:
  • ИТ (сопровождение ИИ Банка, включая АБС и ДБО);
  • ИБ (проектирование, внедрение, эксплуатация и развитие мер и средств защиты);
  • Коммерческий SOC (SecOps, DFIRMA, OSINT, CTI, CA и прочие модные и/или забытые, старые аббревиатуры).
35 лет:
  • (ISC)2 — действующий CISSP с 2021 года;
  • Отчислен с факультета «Инженерного дела в травматологии и ортопедии», закончил ВУЗ по «Финансы и кредит», подрабатывал кинопереводчиком в Останкино (АСК-3), продавал телефоны у метро, работать пошел в ИТ в Банк, а в итоге карьера связана только с SOC (если на этом предложении вы решите уйти — я Вас понимаю);
  • Был участником команды по созданию и развитию открытой международной Инициативы по повышению знаний в области ИБ и развитию отрасли ИБ в целом (из неё тоже был условно отчислен);
  • Согласно докладу для Министерства Обороны США от MARGIN RESEARCH, который спонсировала DARPA, числюсь среди угроз национальной безопасности США.
Координаты:
  • Российская Федерация, Город герой Москва
  • 2024 год от Рождества Христова
  • 1445 год по Хиджре
  • 1718279950 по Unix epoh time
  • t.me/zinint


ПРЕДИСЛОВИЕ

Во всякой книге предисловие есть первая и вместе с тем последняя вещь; оно или служит объяснением цели сочинения, или оправданием и ответом на критики. Но обыкновенно читателям дела нет до нравственной цели и до журнальных нападок, и потому они не читают предисловий. А жаль, что это так, особенно у нас. … Она еще не знает, что в порядочном обществе и в порядочной книге явная брань не может иметь места; что современная образованность изобрела орудие более острое, почти невидимое и тем не менее смертельное, которое, под одеждою лести, наносит неотразимый и верный удар. … Но, видно, Русь так уж сотворена, что все в ней обновляется, кроме подобных нелепостей. Самая волшебная из волшебных сказок у нас едва ли избегнет упрека в покушении на оскорбление личности!
Вот уже 14-й год я профессионально развиваюсь в сфере ИТ и ИБ (большая часть из этих лет проходила и проходит в режиме «год за три», коллеги не дадут соврать) и с каждым днём я всё больше понимаю насколько много я еще не знаю. Испытывая пароксизм желания систематизировать накопленное незнание и поделиться соответствующими результатами и практикой со всеми, особенно с только начинающими свой путь или вынужденными разобраться в том, что же такое ИБ хотя бы по верхам, я и решил начать писать.
101, этимология нумерации части названия — заимствованное, возможно намекающее на то, что это некая серия пособий ибо именно на это я сейчас нацелен, возможно ошибочно, как это часто бывает в нашей работе (ИБ), ведь мы обязаны формировать свои обоснованные решения в области управления рисками и отвечать за их последствия, основываясь на зачастую непроверенных данных из недостоверных источников, причем делая это всегда прогнозно и циклично (PDCA/PDAR), но отвечая за всё по факту.
Я надеюсь что смогу принести пользу читателю, хотя мне не известны доказательства, свидетельствующие о таком пути развития дальнейших событий. Но если бы мне когда-то попалось подобное «издание» — мне бы это сильно помогло.


ПРОЛОГ

Герман Оскарович Греф: «Русская модель управления неэффективна, но результативна».
Чистая правда. И вот очень хотелось бы написать, что существуют секреты в достижении результатов в области ИБ и я раскрываю их далее, но на моём пути такие не попадались. Вынуждено процитирую отрывок из одной из моих любых книг Евгения Гордеева «Как заработать миллион»:
РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ, РАБОТАТЬ
А вот о том как работать и что делать, а главное почему и зачем, мы как раз вместе будем размышлять здесь. Но заранее предупреждаю — ни о каких секретах далее речь не пойдёт. Даже наоборот, зачастую мы будем опираться на публично доступные и проверенные временем работы ведущих международных организаций и экспертов, часть из которых датирована аж 1998 годом. И да, о ужас, с тех пор поменялось немногое и часто не кардинально, а что не поменялось точно, так это наше нежелание, ой, т. е. стремление научиться хотя бы известному уже тогда, по крайней мере я на это надеюсь.

Первое и самое главное: правила безопасности написаны кровью! 


И на сегодняшний день и правила информационной безопасности, к сожалению, уже тоже написаны кровью.
Впервые я по-новому осознал тот уровень ответственности, который взвалил на свои плечи выбрав информационную безопасность своим призванием, когда в 2020 году наткнулся на инцидент ИБ произошедший в немецком городе Дюссельдорф. В результате атаки шифровальщика в больнице Duesseldorf University Hospital не смогли принять пациента в тяжелом состоянии, в результате скорая была вынуждена везти его в другое учреждение в 30 километрах. В течение этого дополнительного пути пациент, к сожалению, скончался. Профильные издания утверждали тогда, что это первый задокументированный случай гибели человека, косвенной причиной которого стала атака шифровальщика.
С учётом очевидного вектора развития цифровизации и степени проникновения информационных технологий в повседневную жизнь современного общества, как минимум части стран мира (вспоминаем или гуглим карту подключенных к интернету устройств от Shodan), уровень ответственности в области информационной безопасности будет расти экспоненциально, как и ущерб, связанный с нарушением её базовых принципов или невыполнением основных правил. Не говоря уже об общей геополитической обстановке и смещению условно традиционных ценностей злоумышленников (не люблю это слово, это просто уголовники) в известную противоположную сторону. На сегодняшний день в информационном пространстве не осталось неприемлемых целей и/или способов нанесения ущерба или извлечения выгоды.
Примеров результативных компьютерных атак за последние годы было много (так много, что они уже даже повсеместно упоминаются в СМИ), не хочется делать дополнительную рекламу, но перечень целей стал безграничным, и зачастую определяется уже не только исходя из выгодности или простоты компьютерной атаки, а исходя из степени вероятного ущерба как конкретной организации, так и общества в целом. Но это темы для отдельного обсуждения, может быть один из следующих постов запланированной серии ИБ: 101 будет посвящен именно им. Хотя опять-таки, мне не известны доказательства, свидетельствующие о таком пути развития дальнейших событий.
Именно поэтому, информационная безопасность со временем неизбежно станет общей областью знаний, по аналогии с правилами безопасного пользования лифтом или электроприборами, тем более многие из них уже и так подключены к Сети. С той лишь единственной разницей, что табличку с основными правилами и требованиями информационной безопасности клеить к соответствующим приборам начнут видимо не скоро, хотя я очень на это надеюсь (и себе и своей пастве я лично, например, клею).
И далее везде — это мой маленький вклад в эту неизбежность.

P. S. Вклад будет публиковаться по следующим доменам:
  • ИБ 101 | базовые знания по ИБ в субъективном представлении автора (километр в ширину и десять метров в глубину);
  • DFIRMA | обезличенные уроки и рекомендации вынесенные из реагирований на реальные инциденты ИБ (соблюдая условия конфиденциальности);
  • SECOPS | обезличенные примеры личного выбора в операционной деятельности коммерческого SOC, когда есть только 2 возможных варианта решения, и оба скорее всего плохие;
  • OPERFOR | субъективная оценка и анализ событий ИБ и около-ИБ;
  • RFP | слайды презентаций с комментариями или видео с непубличных выступлений или закрытых конференций (соблюдая условия организаторов).

Публикации, доступные бесплатно
Уровни подписки
[ИБ: 101]# chmod 744 300₽ месяц 3 060₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте [ИБ: 101]# netstat -ib

Базовая подписка, права только на чтение, спасибо Вам!


Оформить подписку
[ИБ: 101]# chmod 755 500₽ месяц 5 100₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте [ИБ: 101]# netstat -ib
Доступны сообщения

Базовая подписка + возможность задавать вопросы и по возможности получать ответы + большое спасибо (:

Оформить подписку
[ИБ: 101]# chmod 764 750₽ месяц 7 650₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте [ИБ: 101]# netstat -ib
Доступны сообщения

Базовая подписка + возможность задавать вопросы и получать ответы.

Оформить подписку
[ИБ: 101]# chmod 777 1 500₽ месяц 15 300₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте [ИБ: 101]# netstat -ib
Доступны сообщения

Базовая подписка + возможность задавать вопросы и приоритетно получать ответы + возможность созвониться с автором.

Оформить подписку
Фильтры
Обновления проекта
Контакты

Контакты

Поделиться
Читать: 8+ мин
logo [ИБ: 101]# netstat -ib

OPERFOR | НовостИБ № 04112024-01

Китайцы ‎взламывают‏ ‎RSA ‎(заголовки ‎= ‎зло), ‎персонализация‏ ‎фишинга ‎в‏ ‎b2c,‏ ‎ЕС ‎взялись ‎за‏ ‎гайки ‎для‏ ‎вендоров, ‎Microsoft ‎как ‎всегда‏ ‎что-то‏ ‎учудил, ‎DJI‏ ‎судится ‎с‏ ‎DoD, ‎а ‎сами ‎DoD ‎хотят‏ ‎deepFake.


Китайцы‏ ‎взламывают ‎RSA‏ ‎с ‎помощью‏ ‎квантовых ‎компьютеров ‎(заголовки ‎= ‎зло).

Ох‏ ‎уж‏ ‎эти‏ ‎заголовки…что ‎СМИ‏ ‎порою ‎делают‏ ‎с ‎содержанием‏ ‎или‏ ‎наименованием ‎экспертных‏ ‎статей ‎ваш ‎покорный ‎слуга ‎знает‏ ‎не ‎понаслышке‏ ‎(на‏ ‎работе ‎мы ‎часто‏ ‎и ‎много‏ ‎пишем ‎комментариев, ‎заметок, ‎статей), да‏ ‎не‏ ‎все ‎СМИ,‏ ‎и ‎да‏ ‎не ‎всегда, ‎но ‎тень, ‎как‏ ‎это‏ ‎часто ‎бывает,‏ ‎отбрасывает ‎то‏ ‎самое ‎меньшинство, ‎разительно ‎бьющее ‎в‏ ‎нос‏ ‎на‏ ‎фоне ‎общей‏ ‎нормальности.

https://www.csoonline.com/article/3562701/chinese-researchers-break-rsa-encryption-with-a-quantum-computer.html

Нет, ‎не‏ ‎взломали, ‎и‏ ‎нет,‏ ‎не ‎сломали,‏ ‎и ‎даже ‎близко ‎к ‎этому‏ ‎не ‎подобрались,‏ ‎просто‏ ‎нужно ‎перетерпеть ‎заголовок‏ ‎и ‎прочитать‏ ‎следующее:

The ‎research ‎team ‎led‏ ‎by‏ ‎Shanghai ‎University’s‏ ‎Wang ‎Chao,‏ ‎found ‎that ‎D-Wave’s ‎quantum ‎computers‏ ‎can‏ ‎optimize ‎problem-solving‏ ‎in ‎a‏ ‎way ‎that ‎makes ‎it ‎possible‏ ‎to‏ ‎attack‏ ‎encryption ‎methods‏ ‎such ‎as‏ ‎RSA.

Где ‎уже‏ ‎говорится‏ ‎лишь ‎о‏ ‎том, ‎что ‎группа ‎очень ‎умных‏ ‎Китайских ‎ученых‏ ‎открыла‏ ‎более ‎эффективный ‎способ‏ ‎применения ‎канадского‏ ‎D-Wave ‎квантового ‎компьютера ‎(а‏ ‎D-Wave‏ ‎Systems ‎—‏ ‎это ‎канадская‏ ‎фирма, ‎представьте ‎себе, ‎компьютер ‎не‏ ‎китайский) для‏ ‎решения ‎проблемы‏ ‎разложения ‎большого‏ ‎числа ‎на ‎два ‎простых ‎множителя‏ ‎(большого‏ ‎тут‏ ‎именно ‎большого,‏ ‎считай ‎огромного), которая‏ ‎отражает ‎ключевую‏ ‎суть‏ ‎криптографии ‎RSA.‏ ‎Проблема ‎эта ‎по ‎факту ‎настолько‏ ‎сложная, ‎что‏ ‎мы‏ ‎спокойно ‎можем ‎использовать‏ ‎ключи ‎длинной‏ ‎2048 ‎bit ‎и ‎не‏ ‎бояться,‏ ‎что ‎их‏ ‎смогут ‎взломать‏ ‎в ‎обозримом ‎будущем, ‎хотя ‎можно‏ ‎и‏ ‎лучше ‎брать‏ ‎ключ ‎длинной‏ ‎4096 ‎bit, ‎что ‎в ‎итоге‏ ‎на‏ ‎выходе‏ ‎даст ‎проблему‏ ‎длинной ‎в‏ ‎8192-bit, ‎что‏ ‎еще‏ ‎надежнее. ‎Для‏ ‎понимания, ‎чего ‎конкретно ‎удалось ‎добиться‏ ‎ученым ‎из‏ ‎Китая,‏ ‎вот ‎цитата:

Using ‎the‏ ‎D-Wave ‎Advantage,‏ ‎we ‎successfully ‎factored ‎a‏ ‎22-bit‏ ‎RSA ‎integer,‏ ‎demonstrating ‎the‏ ‎potential ‎for ‎quantum ‎machines ‎to‏ ‎tackle‏ ‎cryptographic ‎problems.»‏ ‎That’s ‎all‏ ‎they ‎said. ‎«We ‎successfully ‎factored‏ ‎a‏ ‎22-bit‏ ‎integer, ‎so‏ ‎— ‎NEWS‏ ‎FLASH! ‎—‏ ‎quantum‏ ‎computers ‎can‏ ‎be ‎used ‎to ‎factor ‎integers.

Ну,‏ ‎комментарии ‎излишни.‏ ‎Безусловно,‏ ‎это ‎явный ‎и‏ ‎очевидный ‎прогресс‏ ‎в ‎этом ‎направлении, ‎но‏ ‎до‏ ‎взлома ‎криптографии‏ ‎RSA ‎еще‏ ‎всё-таки ‎далеко. ‎Да ‎и ‎если‏ ‎он‏ ‎произойдет, ‎все‏ ‎быстро ‎это‏ ‎узнают ‎и ‎выглядеть ‎эта ‎новость‏ ‎будет‏ ‎по‏ ‎другому ‎(:


Персонализация‏ ‎фишинга ‎в‏ ‎b2c.

Третьего ‎дня‏ ‎на‏ ‎просторах ‎Омериканского‏ ‎Интернета ‎подметили, ‎что ‎люди ‎стали‏ ‎получать ‎фишинг‏ ‎сильно‏ ‎выросший ‎по ‎стадии‏ ‎зрелости ‎со‏ ‎времен ‎Саудовского ‎или ‎Нигерийского‏ ‎Принца‏ ‎(да ‎простят‏ ‎меня ‎граждане‏ ‎этих ‎удивительных ‎и ‎прекрасных ‎стран,‏ ‎но‏ ‎уж ‎больно‏ ‎часто ‎лично‏ ‎мне ‎попадались ‎примеры ‎именно ‎с‏ ‎ними,‏ ‎субъективщина,‏ ‎собственно ‎как‏ ‎и ‎всё‏ ‎«тут»), например:

Ну ‎и‏ ‎далее‏ ‎везде, ‎с‏ ‎адресом ‎соответствующего ‎кошелька ‎в ‎конце‏ ‎письма. ‎Т.е.‏ ‎в‏ ‎заголовках ‎стали ‎использовать‏ ‎персонализированные ‎обращения‏ ‎с ‎наполнением ‎прологов ‎корректными‏ ‎и‏ ‎актуальными ‎данными‏ ‎цели, ‎полученными‏ ‎из ‎различных ‎утечек. ‎И ‎уже‏ ‎не‏ ‎просто ‎имя‏ ‎и ‎фамилию,‏ ‎а ‎уже ‎и ‎актуальный ‎номер‏ ‎телефона,‏ ‎адрес‏ ‎проживания ‎и‏ ‎т. ‎д.‏ ‎Нам ‎то‏ ‎в‏ ‎РФ ‎к‏ ‎такому ‎давно ‎не ‎привыкать, ‎нам‏ ‎уже ‎deepFake‏ ‎кружочки‏ ‎генеральные ‎директора ‎наших‏ ‎организаций ‎присылают‏ ‎в ‎Telegram ‎(в ‎рамках‏ ‎фишинговых‏ ‎компаний), как ‎говорится‏ ‎— ‎видали‏ ‎и ‎не ‎такое, ‎а ‎некоторых‏ ‎отправителей‏ ‎видали ‎и‏ ‎в ‎Химках.‏ ‎Но ‎вот ‎за ‎океаном ‎обратный‏ ‎эффект‏ ‎начал‏ ‎работать ‎только‏ ‎сейчас ‎(почему‏ ‎эффект ‎обратный‏ ‎и‏ ‎как ‎это‏ ‎может ‎быть ‎связано ‎с ‎тем,‏ ‎как ‎уже‏ ‎давно‏ ‎атакуют ‎нас, ‎тема‏ ‎для ‎отдельного‏ ‎поста, ‎точно, ‎наверное, ‎закрытого,‏ ‎и‏ ‎то ‎если‏ ‎осмелюсь ‎предположения‏ ‎свои ‎делать ‎публичными, ‎хотя ‎они‏ ‎в‏ ‎целом ‎тем,‏ ‎кто ‎к‏ ‎своему ‎несчастью ‎в ‎это ‎во‏ ‎всё‏ ‎вынужден‏ ‎погружаться ‎—‏ ‎очевидны). Но, ‎что‏ ‎важно ‎здесь‏ ‎отметить,‏ ‎это ‎то,‏ ‎что ‎из-за ‎длительного ‎попустительского ‎отношения‏ ‎к ‎вопросам‏ ‎ИБ‏ ‎и ‎цифровой ‎гигиены‏ ‎утечек ‎было‏ ‎много, ‎утечки ‎были ‎большие,‏ ‎а‏ ‎главное ‎—‏ ‎утечек ‎будет‏ ‎еще ‎больше, ‎и ‎утечки ‎будут‏ ‎еще‏ ‎больше. ‎Уголовникам,‏ ‎подготовленным ‎кем-то‏ ‎где-то ‎или ‎нет, ‎не ‎важно,‏ ‎стало‏ ‎понятно,‏ ‎что ‎LOG‏ ‎IN ‎становится‏ ‎дешевле ‎HACK‏ ‎IN,‏ ‎и ‎что‏ ‎главную ‎ценность ‎из ‎себя ‎представляет‏ ‎не ‎сам‏ ‎взлом‏ ‎и ‎последующие ‎варианты‏ ‎условно ‎классического‏ ‎нанесения ‎ущерба, ‎а ‎персональные‏ ‎и‏ ‎иные ‎учетные‏ ‎данные, ‎которые‏ ‎можно ‎скопировать ‎в ‎результате ‎компьютерной‏ ‎атаки‏ ‎(так ‎некоторые‏ ‎люди, ‎подготовленным‏ ‎кем-то ‎где-то ‎или ‎нет, возможно, ‎реализуют‏ ‎принципы‏ ‎ряда‏ ‎стратегий, ‎разработка‏ ‎которых ‎началась‏ ‎еще ‎в‏ ‎1942‏ ‎году ‎и‏ ‎которые ‎призывают ‎стремиться ‎к ‎сокращению‏ ‎времени ‎между‏ ‎разведкой‏ ‎и ‎нанесением ‎ущерба‏ ‎— ‎стоп,‏ ‎нет, ‎тема ‎отдельного ‎поста,‏ ‎точно‏ ‎не ‎новостей). В‏ ‎общем, ‎удивляться‏ ‎тут ‎нечему, ‎но ‎нужно ‎еще‏ ‎раз‏ ‎задуматься ‎о‏ ‎том, ‎достаточно‏ ‎ли ‎времени ‎мы ‎отводим ‎просветительской‏ ‎деятельности‏ ‎как‏ ‎представители ‎ИБ‏ ‎— ‎сразу‏ ‎говорю, ‎не‏ ‎достаточно,‏ ‎но ‎никогда‏ ‎не ‎поздно ‎лишний ‎раз ‎об‏ ‎этом ‎вспомнить‏ ‎и‏ ‎поставить ‎себе ‎в‏ ‎календарь ‎встречу‏ ‎с ‎самим ‎с ‎собой,‏ ‎чтобы‏ ‎лишний ‎раз‏ ‎посвятить ‎этому‏ ‎время. ‎Пользователи, ‎как ‎бы ‎обидно‏ ‎это‏ ‎не ‎звучало,‏ ‎может ‎и‏ ‎не ‎скажут ‎потом ‎спасибо, ‎но‏ ‎в‏ ‎конце‏ ‎концов ‎мы‏ ‎с ‎вами‏ ‎выбрали ‎ИБ‏ ‎своим‏ ‎призванием ‎не‏ ‎ради ‎«спасибо». ‎Это ‎вопрос ‎Инженерной‏ ‎чести ‎(в‏ ‎других‏ ‎постах ‎раскрывается ‎смысл‏ ‎этого ‎моего‏ ‎термина, ‎но ‎это ‎один‏ ‎из‏ ‎тех ‎случаев,‏ ‎когда ‎если‏ ‎нужно ‎объяснять, ‎то ‎объяснять ‎наверное‏ ‎и‏ ‎не ‎нужно‏ ‎уже).


ЕС ‎взялись‏ ‎за ‎гайки ‎для ‎вендоров

https://data.consilium.europa.eu/doc/document/PE-7-2024-INIT/en/pdf

Ну ‎что‏ ‎тут‏ ‎сказать,‏ ‎вот ‎когда‏ ‎молодцы, ‎тогда‏ ‎молодцы, ‎нам‏ ‎есть‏ ‎местами ‎чему‏ ‎поучиться, ‎как ‎и ‎всем, ‎как‏ ‎и ‎всегда,‏ ‎как‏ ‎и ‎во ‎всём.‏ ‎Условно ‎—‏ ‎повышается ‎градус ‎ответственности ‎производителей‏ ‎софта‏ ‎в ‎случае‏ ‎реализации ‎ряда‏ ‎рисков ‎с ‎ним ‎связанных, ‎а‏ ‎также‏ ‎осложняется ‎процесс‏ ‎производства ‎сотен‏ ‎устройств ‎Интернета ‎вещей, ‎программное ‎обеспЕчение‏ ‎которых,‏ ‎еще‏ ‎на ‎производстве‏ ‎уже ‎никто‏ ‎не ‎думал‏ ‎никогда‏ ‎обновлять. ‎А‏ ‎если ‎кто ‎и ‎думал ‎обновлять,‏ ‎то ‎им‏ ‎тоже‏ ‎бьют ‎по ‎больному‏ ‎— ‎нельзя‏ ‎будет ‎программными ‎средствами ‎сокращать‏ ‎жизнь‏ ‎устройства, ‎например,‏ ‎высаживать ‎батарейку‏ ‎сильнее ‎по ‎мере ‎выхода ‎новых‏ ‎моделей,‏ ‎кто-то ‎так‏ ‎делал ‎мне‏ ‎кажется…в ‎общем ‎осенью ‎2026 ‎планово‏ ‎закрутят‏ ‎гайки,‏ ‎это ‎правильно,‏ ‎любишь ‎кататься,‏ ‎люби ‎и‏ ‎саночки‏ ‎возить. ‎Есть‏ ‎конечно ‎странные ‎пункты ‎по ‎тексту,‏ ‎но ‎вектор‏ ‎правильный.‏ ‎Как ‎будет ‎выглядеть‏ ‎итоговый ‎текст‏ ‎с ‎учетом ‎всей ‎силы‏ ‎брюсельской‏ ‎бюрократии ‎—‏ ‎страшно ‎представить,‏ ‎но ‎будем ‎посмотреть, ‎а ‎главное‏ ‎как‏ ‎будет ‎происходить‏ ‎правоприменительная ‎практика‏ ‎— ‎особенно ‎интересно.


Microsoft ‎как ‎всегда‏ ‎что-то‏ ‎учудил

https://www.bleepingcomputer.com/news/security/microsoft-warns-it-lost-some-customers-security-logs-for-a-month/

На‏ ‎этот ‎раз‏ ‎всё ‎просто‏ ‎— ‎потеряли‏ ‎Security‏ ‎логи ‎своей‏ ‎же ‎операционной ‎системы, ‎в ‎целом‏ ‎тчк.

Оригинал ‎может‏ ‎привнести‏ ‎ясность:

https://m365admin.handsontek.net/multiple-services-partially-incomplete-log-data-due-to-monitoring-agent-issue/

Ну ‎что ‎тут‏ ‎сказать, ‎вообще‏ ‎бывает…а ‎у ‎кого ‎бывает‏ ‎уверенно‏ ‎часто ‎(:


DJI‏ ‎судится ‎с‏ ‎DoD

https://techcrunch.com/2024/10/19/dji-sues-department-of-defense-over-listing-as-a-chinese-military-company/

Не ‎заголовок, ‎а ‎песня. ‎DJI‏ ‎подали‏ ‎в ‎суд‏ ‎ни ‎на‏ ‎кого-нибудь, ‎а ‎на ‎МО ‎США‏ ‎(оказывается‏ ‎так‏ ‎можно ‎было), за‏ ‎то, ‎что‏ ‎их ‎внесли‏ ‎в‏ ‎санкционные ‎списки‏ ‎как ‎агентов ‎работающих ‎на ‎Китайскую‏ ‎армию. ‎Мир‏ ‎потихоньку‏ ‎продолжает ‎сходить ‎с‏ ‎ума, ‎другое‏ ‎дело, ‎что ‎это ‎длится‏ ‎не‏ ‎первую ‎тысячу‏ ‎лет ‎и‏ ‎тратить ‎своё ‎драгоценное ‎время ‎на‏ ‎удивление‏ ‎этому ‎факту‏ ‎предлагаю ‎уже‏ ‎прекратить.


DoD ‎хочет ‎deepFake

https://theintercept.com/2024/10/17/pentagon-ai-deepfake-internet-users/

Вот ‎я ‎уже‏ ‎пытался‏ ‎в‏ ‎этом ‎выпуске‏ ‎не ‎затрагивать‏ ‎эти ‎и‏ ‎около‏ ‎эти ‎темы,‏ ‎но ‎что ‎же ‎они ‎вынуждают‏ ‎то…нет, ‎отдельным‏ ‎постом.‏ ‎Просто ‎оставлю ‎это‏ ‎здесь. ‎Вот‏ ‎просто ‎оставлю ‎и ‎всё.‏ ‎Просто‏ ‎знайте, ‎пожалуйста,‏ ‎что ‎этим‏ ‎они ‎тоже ‎занимаются

https://www.documentcloud.org/documents/25224425-jsoc-stylegan-personas

хотя ‎про ‎удивление‏ ‎чему-либо‏ ‎мы ‎выше‏ ‎уже ‎обсудили.


Всем‏ ‎хорошей ‎недели, ‎жаль ‎короткой ‎—‏ ‎работы‏ ‎много,‏ ‎увидимся ‎на‏ ‎SOC ‎Форуме,‏ ‎я ‎там‏ ‎все‏ ‎три ‎дня,‏ ‎если ‎что ‎пишите, ‎контакты ‎есть‏ ‎тут ‎или‏ ‎в‏ ‎утечках.

Читать: 7+ мин
logo [ИБ: 101]# netstat -ib

OPERFOR | НовостИБ № 04102024-01

Сказали, ‎что‏ ‎надо, ‎ну ‎раз ‎надо, ‎пишу.

Linux‏ ‎RCE, ‎DeFi,‏ ‎VLC,‏ ‎Tor+Tails, ‎Telegram, ‎Windows‏ ‎— ‎куда‏ ‎же ‎без ‎него.


Linux ‎RCE

Simone‏ ‎Margaritelli‏ ‎сказал ‎всё,‏ ‎если ‎даже‏ ‎не ‎больше ‎чем ‎нужно, ‎а‏ ‎какой‏ ‎тон:

As ‎someone‏ ‎who’s ‎directly‏ ‎involved ‎in ‎the ‎CUPS ‎project‏ ‎said:‏ ‎«From‏ ‎a ‎generic‏ ‎security ‎point‏ ‎of ‎view,‏ ‎a‏ ‎whole ‎Linux‏ ‎system ‎as ‎it ‎is ‎nowadays‏ ‎is ‎just‏ ‎an‏ ‎endless ‎and ‎hopeless‏ ‎mess ‎of‏ ‎security ‎holes ‎waiting ‎to‏ ‎be‏ ‎exploited.» ‎Well‏ ‎they’re ‎not‏ ‎wrong! ‎

Целиком ‎читать ‎тут ‎—‏ ‎https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

А‏ ‎если ‎вкратце,‏ ‎то ‎CUPS‏ ‎означает ‎Common ‎UNIX ‎Printing ‎System,‏ ‎которая‏ ‎представляет‏ ‎собой, ‎что‏ ‎неудивительно, ‎подсистему‏ ‎печати ‎для‏ ‎Unix-like‏ ‎ОС, ‎включая‏ ‎Linux. ‎Чуть ‎подробнее ‎в ‎хорошей‏ ‎реакции ‎на‏ ‎статью‏ ‎Simone ‎Margaritelli ‎тут‏ ‎— ‎https://thehackernews.com/2024/09/critical-linux-cups-printing-system.html?_m=3n%2e009a‏ ‎%2e3473%2eze0ao0d6vk%2e2hio

Найдены ‎важные ‎косяки ‎и‏ ‎в‏ ‎ближайших ‎версиях‏ ‎Linux ‎и‏ ‎BSD ‎их ‎исправят, ‎но ‎мы‏ ‎естественно‏ ‎видели ‎CVSS‏ ‎9.8 ‎и‏ ‎куда ‎страшнее.

Чуть ‎более ‎интересное ‎рассуждение‏ ‎тут‏ ‎—‏ ‎https://news.risky.biz/risky-biz-news-attackers-are-on-the-hunt-for-the-new-unix-cups-rce/

Но ‎вопрос‏ ‎с ‎такими‏ ‎новостями ‎как‏ ‎мне‏ ‎кажется ‎в‏ ‎том, ‎а ‎что ‎с ‎ними‏ ‎потом ‎делать?‏ ‎Все‏ ‎вы ‎всё ‎это‏ ‎получили ‎так‏ ‎или ‎иначе ‎в ‎своих‏ ‎фидах,‏ ‎я ‎даже‏ ‎думал, ‎а‏ ‎в ‎чем ‎вообще ‎может ‎быть‏ ‎полезная‏ ‎нагрузка ‎от‏ ‎моих ‎новостей?‏ ‎Разве ‎что ‎я ‎дополню ‎парой‏ ‎ссылок‏ ‎на‏ ‎интересные ‎дополнения‏ ‎от ‎нормальных,‏ ‎в ‎отличие‏ ‎от‏ ‎меня, ‎и‏ ‎тем ‎более ‎авторитетных ‎авторов ‎или‏ ‎изданий. ‎Но‏ ‎всё‏ ‎же ‎призываю ‎вас‏ ‎задуматься ‎о‏ ‎том, ‎а ‎что ‎потом?‏ ‎Заявка‏ ‎в ‎SD‏ ‎на ‎IT‏ ‎с ‎указанием ‎устранить/обновить ‎и ‎потом‏ ‎доложить/закрыть‏ ‎заявку? ‎Еще‏ ‎одна ‎в‏ ‎тот ‎самый ‎копящийся ‎бэклог? ‎А‏ ‎функцию‏ ‎контроля‏ ‎чем? ‎Сканер‏ ‎внутренний? ‎А‏ ‎он ‎всё‏ ‎сканирует?‏ ‎А ‎профили‏ ‎правильно ‎настроены? ‎А ‎согласовать ‎время‏ ‎сканирования ‎с‏ ‎ИТ‏ ‎тоже ‎в ‎SD‏ ‎надо ‎будет?‏ ‎Или ‎всё ‎покрыто ‎чем-то‏ ‎типа‏ ‎EDR ‎и‏ ‎вы ‎по‏ ‎инвентори ‎телеметрии ‎сами ‎определите, ‎и‏ ‎тогда‏ ‎сможете ‎точечно‏ ‎реализовывать ‎контроль?‏ ‎А ‎телеметрю ‎в ‎консоли ‎EDR‏ ‎можно‏ ‎удобно‏ ‎агрегировать ‎и‏ ‎посмотреть ‎или‏ ‎она ‎у‏ ‎вас‏ ‎льётся ‎куда-то?‏ ‎А ‎там ‎где ‎это ‎«куда-то»‏ ‎удобно ‎смотреть‏ ‎быстро‏ ‎чтобы ‎не ‎тратить‏ ‎полдня? ‎Очень‏ ‎много ‎вопросов ‎в ‎моей‏ ‎голове‏ ‎рождают ‎подобные‏ ‎новости, ‎причем‏ ‎вопросов ‎никак ‎не ‎связанных ‎с‏ ‎CUPS…но‏ ‎я ‎не‏ ‎самый ‎острый‏ ‎карандаш ‎в ‎коробке, ‎может ‎быть‏ ‎всё‏ ‎из-за‏ ‎этого…


DeFi

DeFi ‎—‏ ‎Decentralized ‎Finance‏ ‎platform ‎—‏ ‎а‏ ‎точнее ‎Ether.fi‏ ‎стали ‎жертвой ‎атаки ‎DNS-hijack ‎после‏ ‎того, ‎как‏ ‎злоумышленники‏ ‎получили ‎контроль ‎над‏ ‎её ‎учётной‏ ‎записью ‎на ‎Gandi. ‎24‏ ‎сентября,‏ ‎воспользовавшись ‎механизмами‏ ‎восстановления ‎учётных‏ ‎записей ‎Gandi.net, ‎злоумышленники ‎изменили ‎зарегистрированные‏ ‎DNS-серверы‏ ‎Ether.fi ‎на‏ ‎те, ‎которые‏ ‎находились ‎под ‎их ‎контролем. ‎После‏ ‎получения‏ ‎уведомления‏ ‎о ‎восстановлении‏ ‎учётной ‎записи,‏ ‎в ‎течение‏ ‎трёх‏ ‎часов ‎изменения‏ ‎были ‎отменены, ‎а ‎учётная ‎запись‏ ‎Ether.fi ‎успешно‏ ‎заблокирована‏ ‎для ‎предотвращения ‎дальнейших‏ ‎манипуляций.

Казалось ‎бы‏ ‎— ‎терпимо ‎вышло.

И ‎на‏ ‎фоне‏ ‎этого ‎многие‏ ‎вздохнули ‎с‏ ‎облегчением, ‎однако ‎после ‎захвата ‎домена‏ ‎можно‏ ‎нанести ‎значительный‏ ‎ущерб ‎и‏ ‎за ‎пределами ‎непосредственно ‎инфраструктуры. ‎Например,‏ ‎злоумышленники‏ ‎могут‏ ‎получить ‎действующие‏ ‎SSL-сертификаты ‎от‏ ‎множества ‎регистраторов,‏ ‎так‏ ‎как ‎для‏ ‎этого ‎зачастую ‎требуется ‎лишь ‎подтверждение‏ ‎контроля ‎над‏ ‎доменом.‏ ‎И ‎поскольку ‎отзыв‏ ‎сертификатов ‎—‏ ‎это ‎скорее ‎фантазия, ‎такие‏ ‎сертификаты‏ ‎останутся ‎действительными‏ ‎до ‎конца‏ ‎своего ‎срока. ‎Эти ‎сертификаты ‎в‏ ‎теории‏ ‎можно ‎использовать‏ ‎не ‎только‏ ‎для ‎создания ‎поддельного ‎сайта, ‎куда‏ ‎перенаправят‏ ‎трафик‏ ‎жертвы ‎(кого-то‏ ‎точно ‎подловят),‏ ‎но ‎и‏ ‎для‏ ‎подписи ‎поддельных‏ ‎писем ‎(ну ‎ладно, ‎не ‎все‏ ‎сертификаты, ‎но‏ ‎некоторые‏ ‎из ‎них) ‎от‏ ‎имени ‎домена‏ ‎жертвы, ‎которые ‎впоследствии ‎успешно‏ ‎пройдут‏ ‎проверки ‎SPF,‏ ‎DKIM ‎и‏ ‎DMARC.

Итого, ‎для ‎коммерческих ‎организаций, ‎владеющих‏ ‎ценными‏ ‎доменами, ‎безопасность‏ ‎на ‎уровне‏ ‎регистратора ‎также ‎важна ‎как ‎и‏ ‎на‏ ‎уровне‏ ‎корректной ‎настройки‏ ‎бакетов ‎S3‏ ‎(или ‎любом‏ ‎другом‏ ‎уровне). ‎Я‏ ‎давно ‎говорю ‎про ‎2FA, ‎а‏ ‎AT& ‎T‏ ‎говорили‏ ‎про ‎2FA ‎еще‏ ‎в ‎90-е‏ ‎годы, ‎но ‎если ‎уж‏ ‎хоть‏ ‎в ‎одном‏ ‎месте ‎вы‏ ‎решитесь ‎2FA ‎таки ‎внедрить, ‎после‏ ‎корпоративного‏ ‎VPN ‎естественно,‏ ‎пусть ‎это‏ ‎будет ‎ваш ‎ЛК ‎у ‎регистратора.

Помните,‏ ‎как‏ ‎LastPass‏ ‎после ‎первичной‏ ‎утечки ‎решили,‏ ‎что ‎всё‏ ‎под‏ ‎контролем, ‎но‏ ‎позже ‎злоумышленники ‎использовали ‎информацию ‎из‏ ‎первой ‎атаки‏ ‎для‏ ‎запуска ‎более ‎глубокой‏ ‎и ‎разрушительной‏ ‎атаки? ‎Не ‎исключено, ‎в‏ ‎теории,‏ ‎что, ‎нечто‏ ‎подобное ‎ждёт‏ ‎и ‎Ether.fi ‎в ‎будущем ‎(надеюсь,‏ ‎что‏ ‎нет). ‎Им‏ ‎кажется, ‎что‏ ‎все ‎уязвимости ‎закрыты ‎и ‎инцидент‏ ‎исчерпан,‏ ‎но‏ ‎кратковременная ‎подмена‏ ‎DNS-серверов ‎могла‏ ‎дать ‎злоумышленникам‏ ‎всё,‏ ‎что ‎они‏ ‎искали. ‎Возможно ‎это ‎просто ‎успешное‏ ‎завершение ‎стадии‏ ‎вооружения.‏ ‎Как ‎всегда ‎искренне‏ ‎надеюсь, ‎что‏ ‎я ‎не ‎прав…


VLC

Вот ‎казалось‏ ‎бы,‏ ‎плеер, ‎но‏ ‎стоит ‎почти‏ ‎у ‎всех ‎и ‎почти ‎везде‏ ‎(я‏ ‎даже ‎у‏ ‎себя ‎на‏ ‎телевизоре ‎ставил…на ‎телевизоре, ‎вдумайтесь, ‎докатились).‏ ‎Overflow‏ ‎через‏ ‎maliciously ‎crafted‏ ‎MMS ‎stream.‏ ‎В ‎основном‏ ‎крашит‏ ‎сам ‎плеер‏ ‎просто, ‎но ‎не ‎смотря ‎на‏ ‎то, ‎что‏ ‎до‏ ‎RCE ‎никто ‎еще‏ ‎не ‎докрутил,‏ ‎вероятность ‎такую ‎исключать ‎мы‏ ‎не‏ ‎можем, ‎поэтому,‏ ‎пожалуйста, ‎обновляемся‏ ‎до ‎3.0.21 ‎если ‎используем ‎его‏ ‎в‏ ‎соответствующих ‎сценариях.


Tor‏ ‎и ‎Tails‏ ‎объединяются.

Ну ‎что ‎тут ‎еще ‎сказать.‏ ‎Вот‏ ‎тут‏ ‎в ‎целом‏ ‎всё ‎сказано‏ ‎— ‎https://blog.torproject.org/tor-tails-join-forces/


Telegram

Как‏ ‎много‏ ‎в ‎этом‏ ‎звуке. ‎Но ‎лучше ‎мои ‎коллеги‏ ‎из ‎SOC‏ ‎пусть‏ ‎расскажут ‎про ‎бесконечные‏ ‎детали, ‎приколы,‏ ‎сюрпризы ‎и ‎открытия ‎в‏ ‎нем‏ ‎(наши ‎эксперты‏ ‎из ‎DFIRMA‏ ‎или ‎OSINT ‎обычно ‎с ‎докладом‏ ‎хотя‏ ‎бы ‎на‏ ‎одной ‎конференции‏ ‎в ‎год ‎про ‎него ‎точно‏ ‎бывают),‏ ‎я‏ ‎лишь ‎подсвечу‏ ‎из ‎поверхностного,‏ ‎но ‎интересного.‏ ‎Третьего‏ ‎дня ‎Telegram‏ ‎изменил ‎свою ‎zero-cooperation ‎policy, ‎я‏ ‎конечно ‎всегда‏ ‎скептически‏ ‎относился ‎к ‎документам‏ ‎подобного ‎рода‏ ‎(ну ‎не ‎работает ‎оно‏ ‎так,‏ ‎точнее ‎работает‏ ‎оно ‎не‏ ‎так, ‎обычно, ‎надеюсь ‎я ‎ошибаюсь).‏ ‎Французы‏ ‎своего ‎добились,‏ ‎условно, ‎а‏ ‎дословно:

Telegram ‎recently ‎made ‎some ‎waves‏ ‎by‏ ‎amending‏ ‎its ‎privacy‏ ‎policy ‎and‏ ‎agreeing ‎to‏ ‎comply‏ ‎with ‎court‏ ‎orders ‎requiring ‎it ‎to ‎share‏ ‎its ‎users’‏ ‎phone‏ ‎numbers ‎and ‎IP‏ ‎addresses ‎with‏ ‎law ‎enforcement. ‎So ‎Telegram’s‏ ‎cooperation‏ ‎will ‎now‏ ‎extend ‎to‏ ‎various ‎criminal ‎investigations, ‎expanding ‎beyond‏ ‎the‏ ‎previous ‎limit‏ ‎of ‎only‏ ‎terror-related ‎offenses.

Комментарии ‎излишни.


Microsoft

У ‎меня ‎обычно‏ ‎вообще‏ ‎слов‏ ‎про ‎них‏ ‎не ‎хватает,‏ ‎и ‎тут‏ ‎буду‏ ‎немногословен. ‎Третьего‏ ‎дня ‎David ‎Weston, ‎Microsoft’s ‎Vice‏ ‎President ‎for‏ ‎Enterprise‏ ‎and ‎OS ‎Security‏ ‎написал ‎про:‏ ‎«Update ‎on ‎Recall ‎security‏ ‎and‏ ‎privacy ‎architecture». Оказалось,‏ ‎что ‎его‏ ‎удаление ‎это ‎таки ‎не ‎баг,‏ ‎а‏ ‎фича. ‎Цитата‏ ‎«Recall ‎is‏ ‎an ‎opt-in ‎experience». Т.е. ‎вот ‎этого‏ ‎вот‏ ‎всего‏ ‎таки ‎можно‏ ‎избежать:

Хотя ‎здесь‏ ‎явно ‎и‏ ‎носа‏ ‎не ‎подточишь,‏ ‎пусть ‎снэпшотят ‎и ‎суперзащищенно ‎хранят‏ ‎ваши ‎персональные‏ ‎и‏ ‎«частные» ‎данные…хотя ‎я‏ ‎пишу ‎это‏ ‎с ‎macOS ‎14.6.1 ‎и‏ ‎чья‏ ‎бы ‎корова‏ ‎мычала…в ‎любом‏ ‎случае, ‎сейчас ‎Recall ‎— ‎это‏ ‎уже‏ ‎хотя ‎бы‏ ‎точно ‎не‏ ‎SQL ‎файлы ‎со ‎снэпшотами ‎всего‏ ‎чего‏ ‎не‏ ‎надо, ‎валяющиеся‏ ‎в ‎пользовательской‏ ‎директории, ‎всё‏ ‎сложнее‏ ‎и ‎энтерпрайзнее.‏ ‎Уже ‎хорошо. ‎Правда ‎они ‎упомянули‏ ‎Recall ‎User‏ ‎Activity‏ ‎API…а ‎вот ‎это‏ ‎как ‎всегда‏ ‎уже ‎страшнее. ‎Оказывается ‎у‏ ‎Recall‏ ‎Ready ‎приложений‏ ‎будет ‎к‏ ‎нему ‎доступ ‎для ‎того ‎чтобы‏ ‎в‏ ‎любой ‎момент‏ ‎откатываться ‎на‏ ‎нужные ‎состояния. ‎Надеюсь, ‎что ‎такой‏ ‎доступ‏ ‎будет‏ ‎только ‎у‏ ‎них, ‎без‏ ‎IDOR ‎и‏ ‎т.‏ ‎д. ‎В‏ ‎целом ‎технология ‎интересная, ‎потенциально ‎удобная‏ ‎и ‎как‏ ‎всегда‏ ‎волнующе ‎реализованная, ‎посмотрим,‏ ‎что ‎покажут‏ ‎безжалостные ‎ИБ ‎циклы ‎PDCA/PDAR…



Читать: 13+ мин
logo [ИБ: 101]# netstat -ib

OPERFOR | Ты эксперт в ИБ — повезло или трудился?

Доступно подписчикам уровня
«[ИБ: 101]# chmod 744»
Подписаться за 300₽ в месяц

Почему хоккеистам лучше рождаться в Январе? И почему если ты добился успеха, это не значит, что другие меньше этого заслуживают или менее квалифицированы, и в тоже время, если ты еще не добился успеха, это не значит, что ты его не достоит и, что очень скоро тебе не повезет.

Обновления проекта

Контакты

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048