Guten Morgen Freeman. «В этом единстве наша сила.» Украинки в ТЦК. Что получится, если из украинского алфавита убрать все русские буквы? Америка уничтожила индейцев, поработила негров, сбросила атом на Японию, но полюбила украинцев? Загадка. :)
![](/images/projects/317/4317/6q/fo/s0/37220112d8.jpg)
Владимира Владимировича и там, и тут показывают. Весь цивилизованный мир собрался в Нормандии, но Байден повернулся попом. Моня Макрон: Я выполняю простые движенья, ты выполняешь мое продолженье. 19 ЧЕЛОВЕК погибли из-за обстрелов ВСУ.
![](/images/projects/317/4317/sx/p8/u5/37209cbi9a.jpg)
Перфокарты надо вовремя обновлять...Ваше приложение устарело..
Клубничка. Радости путешествий на поезде. Трамп чуть не выдал в себе агента Кремля. «Материнский инстинкт „. Риттера не выпустили из Америки. Палестина угнетает Израиль: хвост влияет собакой. Батька готовится к четвёртой мировой. ;)
![](/images/projects/317/4317/v5/so/wa/371h4ga4j7.jpg)
Прикольно Палестина угнетает Израиль после второй мировой, да?
Грустная история о том, что бывает, ежели переоценить свои умения. Купальный сезон наступил: порнопевица Бузова на сцене в ластах выше колен. Бублик туда же. «Данбить Бамбас». Завязываем крики о ЯО. Австрия отправит министра страхования инвалидов. :)
![](/images/projects/317/4317/dv/uz/e7/371f1i7c6i.jpg)
Питер уехал на заставку. Хочу в Питер. Убежать от лагеря, от ответственности, от работы, от лишнего веса (ой, вырвалось, сорри, вообще ведь не по теме:)), а просто стоять и смотреть, как разводят мосты. И пить шампанское. А события в мире пусть подождут.
Пригожину 63. Не верю в ход картошкой. Пробивать на слабо в вопросах применения оружия массового уничтожения — слабоумие и отвага. Вся армия Эстонии вышла из лифта и пошла на войну с Россией. Дзен блокирует патриотов. Люпины расцвели.
![](/images/projects/317/4317/2g/et/ow/371c4c6cb6.jpg)
Привет, друзья! 😀
У меня сегодня было 9 уроков, но усталости почему-то не чувствую. Интересно, что это за явление такое? Может быть, первый день лета на меня как действует?
Баги спонсора, отношение к авторам. Надежда на увечье — всё-таки не смерть. Куда Навальная пропала? ;) Украинские эксгибиционисты в Париже. Йеллоустон — когда? ;) Холодненькое пиво — 4 часа ожидания. Пьер Боннар. Человек громоотвод — остерегайтесь грозы.
![](/images/projects/317/4317/v8/ji/4e/371b04gj50.jpg)
Я настолько привыкла всё отражать в названии, что понятия не имею, что в тизере писать. Тут война, наша повседневная жизнь, фильмы, которые цепляют, люди, которые удивляют и вдохновляют. Немного окопного юмора и вера в Победу! Я за Россию!
Поможем Евдокие! Украинцы тонут в реке смерти. Орлы не хотят летать над 404. Просился добровольцем на СВО в возрасте 100 лет — не пустили. Я встала, значит живая.
![](/project/4317/post/56999/image/128568/imagesprojects317431781rvna37198gcdhg_original.webp?1717084260394)
Здравствуйте, друзья!
Сегодня я буду сама серьёзность. Тема у нас крайне важная. Кто меня знает по дзен, помнит, я каждый месяц собираю хвостики и перевожу помощь Донбассу. В этом месяце у детей экзамены, лагерь, новый проект, забегалась. А вчера попалась мне на глаза грустная статья, на которую ссылалась моя подписчица Лёлька из Крыма.
![](/project/4317/post/56999/image/128558/imagesprojects3174317dktyl637198ehebc_original.webp?1717083980756)
Вы, наверное, знаете этого талантливого журналиста публициста Евдокию, которая с 2014 года помогает Донбассу. Хочу просто показать несколько скриншотов её статьи.
![](/project/4317/post/56999/image/128560/imagesprojects3174317ix0oam37198f4abh_original.webp?1717084035167)
![](/project/4317/post/56999/image/128562/imagesprojects31743171zznds37198fa3d7_original.webp?1717084080313)
если кто-то из вас всё ещё продолжает думать, что дзен пушистый, и алгоритмы работают ровно, вот, пожалуйста, не верите мне про теневой бан, что он существует, и нас патриотов туда пихают, поверьте Евдокие. Таких, закрытых на ключик в теневой бан, огромное количество. Это целенаправленная работа ЦИПСО против нашей страны.
Аж зло берет. Эта моя статья публичная, чтобы как можно людей смогли прочитать и помочь. Скажу честно, я не подписана на Евдокию и не слежу за её деятельностью. Конечно, прежде чем помогать, если Вы не знаете её, можете подписаться на ее канал в телеграм или почитать о ней, и тогда принимайте решение, помочь или нет.
![](/project/4317/post/56999/image/128564/imagesprojects31743171i0vwb37198g5f3d_original.webp?1717084204834)
Это действительно наша война, которая не где-то там, а давно уже где-то тут. Это война каждого. Просто так уж получается, что кого-то она цепляет больше, кто-то помогает больше, кто-то нейтрален, кто-то идет добровольцем и рискует жизнью. Все мы такие разные. Но должны держаться вместе и помогать друг другу.
![](/project/4317/post/56999/image/128566/imagesprojects31743173bs7wb37198g983b_original.webp?1717084234076)
Ну вот у меня чуть-чуть от сердца и отлегло. Если в этом месяце я не отправила Даше, как обычно, сумму, то хотя бы сделала репост. И надеюсь, что эти призывы найдут своего читателя.
Кстати, Азизу опять прилетело. Он написал статью в дзен о том, что Британия единственная страна, имеющая колонию в Европе, Гибралтар. С подтверждёнными фактами. А Дзен ему сообщил, мол, это неправда и ограничил в показах. Поехали о событиях:
![](/project/4317/post/56999/image/128571/imagesprojects3174317wjsptz371995bf04_original.webp?1717085693028)
Ну. Не мы это начали!
![](/project/4317/post/56999/image/128573/imagesprojects31743170zcl77371995jie5_original.webp?1717085758326)
Переплыть через Тису и очутиться на свободе! Могут не только лишь все. Ибо по ним стреляют.
![](/project/4317/post/56999/image/128575/imagesprojects3174317y442u637199694i1_original.webp?1717085833194)
![](/project/4317/post/56999/image/128577/imagesprojects3174317yx44sn371996ce97_original.webp?1717085860716)
К тому же, инсайдерскую информацию из украинских СМИ я регулярно получаю, а там все чётко. Нищая голодная ржавая армия России, чья экономика разорванна в клочья санкциями, уже проиграла! С ними же весь мир, 140 стран помогают, оружия больше, чем до войны, в военкоматы очереди. Чуть-чуть на русских, которые трусливые и не умеют воевать, надавить — и они побегут.
![](/project/4317/post/56999/image/128581/imagesprojects3174317k76qug3719975g7a_original.webp?1717085965344)
А вот ещё красавцы!
![](/project/4317/post/56999/image/128579/imagesprojects31743172t4tbu371996ifa4_original.webp?1717085909276)
![](/project/4317/post/56999/image/128583/imagesprojects3174317pv1a8a371997be69_original.webp?1717086012710)
Как называются?
Сегодня шла домой, смотрю, бабушка упала на травку, встать не может. Поднимали её минут 10, бедную, думали, скорую вызвать или не надо. Отказывается от всего, благодарит. «Я встала, значит, живая.» Надо будет к ней наведываться, живёт она одна. 😞 А помните, были отряды тимуровцев? Помогали старшим. Хорошее было время! Всем желаю добра!
Убунту!
Вот и у нас прилёты. Бьют по защите от ядерного оружия. 6 000 000 убитых евреев: повод для белоснежной улыбки. Мои мысли. Мне кажется порою, что солдаты с кровавых не пришедшие полей, Не в землю нашу полегли когда-то, А превратились в белых журавлей.
![](/images/projects/317/4317/bn/tl/ee/3716cb95j2.jpg)
Про 3 хлопка вчера, мои грустные размышления и школа Барнаула с достойными учителями и учениками. Такими и должны быть настоящие граждане. Цивилизованное сообщество вновь показывает своё лицо: ржака на мемориале в честь холокоста...
Переход по ссылкам электронных писем — лучший способ подружиться с IT
![](https://media.sponsr.ru/project/3938/post/0/image/130445/imagesprojects9383938wqi3i7371d8ja45j.webp?1717340722291)
В статье Google Security Blog «On Fire Drills and Phishing Tests» рассказывается о важности тестов на фишинг и тренингов для повышения безопасности организации.
Важность тестов на фишинг
📌Фишинговые тесты как инструмент обучения: Фишинговые тесты используются для обучения сотрудников распознавать попытки фишинга и реагировать на них. Они имитируют реальные фишинговые атаки, чтобы помочь сотрудникам выявлять подозрительные электронные письма и ссылки.
📌Анализ поведения: Эти тесты дают представление о поведении сотрудников и эффективности текущих программ обучения. Они помогают определить, какие сотрудники или отделы более подвержены фишинговым атакам.
Тренинги по реагированию на инциденты
📌Имитация инцидентов: тренингов включают в себя имитацию инцидентов безопасности для проверки возможностей организации по реагированию на инциденты. Это включает в себя то, насколько быстро и эффективно команда может обнаруживать угрозы безопасности, реагировать на них и устранять их.
📌Готовность и совершенствование: Регулярные учения помогают обеспечить готовность группы реагирования на инциденты к реальным инцидентам безопасности. Они также указывают на области, требующие улучшения в плане реагирования на инциденты.
Интеграция тестов на фишинг и проведения треннингов
📌Комплексное обучение безопасности: Сочетание тестов на фишинг с тренингами обеспечивает комплексный подход к обучению безопасности. Это гарантирует, что сотрудники будут не только осведомлены о фишинговых угрозах, но и знают, как эффективно на них реагировать.
📌Реалистичные сценарии: Объединяя эти два метода, организации могут создавать более реалистичные и сложные сценарии, которые лучше подготовят сотрудников к реальным угрозам.
Показатели и оценка
📌Измерение эффективности: Как тесты на фишинг, так и трениг должны оцениваться с использованием показателей для измерения их эффективности. Это включает в себя отслеживание количества сотрудников, которые поддаются тестированию на фишинг, и времени реагирования во время тренингов.
📌Постоянное совершенствование: Данные, собранные в ходе этих учений, следует использовать для постоянного совершенствования программ обучения безопасности и планов реагирования на инциденты.
Организационная культура
📌Продвижение культуры, ориентированной прежде всего на безопасность: Регулярные тесты на фишинг и тренинги помогают продвигать культуру безопасности в организации. Они подчеркивают важность осведомленности сотрудников о безопасности и готовности к ней.
📌Поощряющие сообщения: Эти упражнения побуждают сотрудников сообщать о подозрительных действиях и потенциальных инцидентах безопасности, способствуя созданию активной среды безопасности.
Шпионам нужен ИИ: ручная работа слишком переоценена
![](https://media.sponsr.ru/project/3936/post/0/image/130544/imagesprojects9363936mok1ho371e8h820f.webp?1717404385639)
Корпорация Майкрософт разработала модель генеративного ИИ специально для разведывательных служб США для анализа сверхсекретной информации.
Ключевые аспекты:
📌Разработка и назначение: Корпорация Майкрософт разработала модель генеративного ИИ на основе технологии GPT-4 специально для разведывательных служб США для анализа сверхсекретной информации. Модель искусственного интеллекта работает в среде, полностью изолированной от Интернета, обеспечивая безопасную обработку секретных данных.
📌Безопасность и изоляция: Это первый пример масштабной языковой модели, функционирующей независимо от Интернета и решающей основные проблемы безопасности, связанные с генеративным ИИ. Доступ к модели возможен только через специальную сеть, принадлежащую исключительно правительству США, что предотвращает любые утечки данных извне или попытки взлома.
📌Сроки разработки и объем работ: На разработку проекта ушло 18 месяцев, включая модификацию суперкомпьютера с искусственным интеллектом в Айове. В настоящее время модель проходит тестирование и аккредитацию в разведывательном сообществе.
📌Оперативный статус: Модель искусственного интеллекта работает менее недели и используется для ответа на запросы примерно 10 000 сотрудников разведывательного сообщества США.
📌Стратегическая важность: Разработка рассматривается как значительное преимущество для разведывательного сообщества США, потенциально позволяющее США лидировать в гонке за интеграцию искусственного интеллекта в разведывательные операции.
Потенциальные последствия
Разведка и национальная безопасность
📌Расширенный анализ: Предоставляет разведывательным службам США мощный инструмент для более эффективной и всесторонней обработки и анализа секретных данных, что потенциально повышает эффективность национальной безопасности и принятия решений.
📌Конкурентные преимущества: как подчеркивают представители ЦРУ, США опережают другие страны в использовании генеративного искусственного интеллекта в разведывательных целях.
Кибербезопасность и защита данных
📌 Обеспечение безопасности: Защищенная среда обеспечивает сохранность секретной информации, устанавливая новый стандарт обработки конфиденциальных данных с помощью искусственного интеллекта.
📌Прецедент для безопасного ИИ: Демонстрирует возможность разработки безопасных изолированных систем ИИ, которые могут повлиять на будущее внедрение ИИ в других чувствительных секторах.
Технологии и инновации
📌 Революционное достижение: Знаменует собой важную веху в развитии искусственного интеллекта, демонстрируя способность создавать большие языковые модели, работающие независимо от Интернета.
📌 Будущие разработки: Способствует дальнейшему развитию безопасных технологий искусственного интеллекта, что потенциально может привести к появлению новых приложений в различных отраслях, таких как здравоохранение, финансы и критически важная инфраструктура.
Правительство и государственный сектор
📌Приверженность правительства: Отражает стремление правительства США использовать передовые технологии искусственного интеллекта для национальной безопасности и разведки.
📌Более широкое внедрение: Может стимулировать увеличение инвестиций и внедрение технологий искусственного интеллекта в государственном секторе, особенно для приложений, связанных с конфиденциальными или секретными данными.
Перезапись встроенного ПО: новая модная тенденция атак на маршрутизаторы
![](https://media.sponsr.ru/project/3938/post/0/image/130090/imagesprojects9383938i8bbem371d7e8ej9.webp?1717336710669)
Вредоносная кампания Chalubo RAT была нацелена на конкретные модели маршрутизаторов Actiontec и Sagemcom, в первую очередь затронув сеть Windstream. Вредоносная программа использовала атаки методом перебора для получения доступа, выполняла загрузку данных в память, чтобы избежать обнаружения, и взаимодействовала с серверами C2 по зашифрованным каналам. Атака привела к значительному сбою в работе, потребовавшему замены более 600 000 маршрутизаторов, что подчеркивает необходимость принятия надежных мер безопасности и регулярного обновления для предотвращения подобных инцидентов.
Последствия для интернет-провайдеров:
📌Windstream: Пострадал интернет-провайдер, более 600 000 маршрутизаторов были выведены из строя в период с 25 по 27 октября 2023 года.
📌Модели: Actiontec T3200, T3260 и Sagemcom F5380.
📌Последствия: Примерно 49% модемов интернет-провайдера были отключены, что потребовало замены оборудования.
Глобальные последствия:
📌Активность ботнета: С сентября по ноябрь 2023 года панели ботнета Chalubo взаимодействовали с 117 000 уникальными IP-адресами в течение 30 дней.
📌Географическое распределение: Большинство заражений произошло в США, Бразилии и Китае.
📌Особенности: 95% ботов взаимодействовали только с одной панелью управления.
Уязвимые маршрутизаторы
📌 Целевые модели: маршрутизаторы бизнес-класса с истекшим сроком службы.
📌Actiontec T3200 и T3260 — это беспроводные маршрутизаторы VDSL2, одобренные компанией Windstream.
📌Sagemcom F5380 — это маршрутизатор WiFi6 (802.11ax).
📌 Модели DrayTek Vigor 2960 и 3900
Вредоносное ПО: Chalubo RAT
📌Впервые обнаружен Sophos Labs в августе 2018 года.
📌Основные функции: DDoS-атаки, выполнение Lua-скриптов и методы обхода с использованием шифрования ChaCha20.
📌Первоначальное заражение: Использует атаки методом перебора на SSH-серверы со слабыми учетными данными (например, root: admin).
📌Доставка полезной нагрузки:
📌Первый этап: скрипт bash («get_scrpc») запускает второй скрипт («get_strtriush»), который извлекает и выполняет основную полезную нагрузку бота («Chalubo» или «mips.elf»).
📌Выполнение: Вредоносная программа запускается в памяти, удаляет файлы с диска и изменяет имя процесса, чтобы избежать обнаружения.
📌Взаимодействие:
📌Серверы C2: выполняется циклический просмотр фиксированных C2s, загрузка следующего этапа и его расшифровка с помощью ChaCha20.
📌Закрепление: Новая версия не поддерживает закрепление на зараженных устройствах.
Вредоносная программа Hiatus RAT
📌 Порт 8816: HiatusRAT проверяет наличие существующих процессов на порту 8816, отключает все существующие службы и открывает прослушиватель на этом порту.
📌 Сбор информации: Собирает информацию о хосте и отправляет ее на сервер C2 для отслеживания статуса заражения и регистрации информации о скомпрометированном хосте.
📌 Первоначальный доступ: Путем использования уязвимостей во встроенном ПО маршрутизатора или с использованием ненадежных учетных данных.
📌 Закрепление: используется скрипт bash для загрузки и выполнения HiatusRAT и двоичного файла для перехвата пакетов
Лаборатория Black Lotus обнаружила новые вредоносные кампании на маршрутизаторах
📌Black Lotus Labs, исследовательская группа по изучению угроз в Lumen Technologies (ранее CenturyLink), недавно обнаружила две крупные кампании вредоносных программ, нацеленных на маршрутизаторы и сетевые устройства разных производителей. Эти открытия свидетельствуют о растущих угрозах, с которыми сталкивается инфраструктура Интернета, и о необходимости совершенствования методов обеспечения безопасности.
Кампания Hiatus
📌В марте 2023 года Black Lotus Labs сообщила о проведении комплексной кампании под названием «Hiatus», которая с июня 2022 года была нацелена на маршрутизаторы бизнес-класса, в первую очередь на модели DrayTek Vigor 2960 и 3900.
📌Злоумышленники использовали маршрутизаторы DrayTek с истекшим сроком службы для обеспечения долговременного сохранения без обнаружения.
📌В Интернете было опубликовано около 4100 уязвимых моделей DrayTek, при этом Hiatus скомпрометировал примерно 100 из них в Латинской Америке, Европе и Северной Америке.
📌После заражения вредоносная программа перехватывает данные, передаваемые через зараженный маршрутизатор, и внедряет троянскую программу удаленного доступа (RAT) под названием «HiatusRAT», которая может передавать вредоносный трафик в дополнительные сети.
📌Black Lotus Labs отключила маршрутизацию серверов управления и разгрузки (C2) на глобальной магистрали Lumen и добавила индикаторы компрометации (IOCs) в свою систему быстрой защиты от угроз, чтобы блокировать угрозы до того, как они достигнут сетей клиентов.
Кампания Pumpkin Eclipse
📌В конце октября 2023 года лаборатория Black Lotus Labs исследовала массовый сбой, затронувший определенные модели шлюзов ActionTec (T3200s и T3260s) и Sagemcom (F5380) в сети одного интернет-провайдера.
📌Более 600 000 устройств отображали красный индикатор, указывающий на вероятную проблему с повреждением встроенного ПО.
📌Атака была ограничена определенным номером автономной системы (ASN), затронув около 49% устройств в этой сети, подвергшихся воздействию.
📌Лаборатории Black Lotus обнаружили многоступенчатый механизм заражения, который позволил установить Chalubo RAT — ботнет, нацеленный на шлюзы SOHO и устройства Интернета вещей.
📌Black Lotus Labs добавила IOC в свою аналитическую ленту threat intelligence, пополнив портфель подключенных средств безопасности Lumen.
Взлом реестра для чайников: Удаление рекламы сложным способом с помощью OFGB (Oh Frick Go Back)
![](https://media.sponsr.ru/project/3938/post/57146/image/130013/imagesprojects93839389pjlno371d7c0ic6.webp?1717336328014)
Инструмент OFGB (Oh Frick Go Back) предназначен для удаления рекламы из различных частей операционной системы Windows 11 путем изменения определенных разделов в реестре Windows.
Основные возможности и функционал
📌Удаление рекламы: Основная функция OFGB заключается в отключении рекламы, появившейся в обновлении Windows 11 от 23 апреля 2024 года. Эта реклама появляется в различных частях операционной системы, включая проводник и меню «Пуск».
📌Модификация реестра: Инструмент работает путем изменения определенных разделов в реестре Windows. Этот метод используется для эффективного отключения рекламы.
📌Написано на C# и WPF: OFGB разработан с использованием C# и Windows Presentation Foundation (WPF), которая предоставляет графический пользовательский интерфейс для этого инструмента.
📌Ссылки: Разделы реестра и комментарии к их функциям были вдохновлены сценарием Шона Бринка. Кроме того, на тематику приложения повлиял проект Aldaviva под названием DarkNet.
📌Создание инструмента: Для создания OFGB пользователям потребуется Visual Studio и .NET 8.0 SDK. Репозиторий можно клонировать или загрузить в виде ZIP-файла, а решение можно создать в Visual Studio, используя сочетание клавиш Ctrl + Shift + B или пункт меню «Сборка» > «Создать решение».
📌Безопасность и распространение: Разработчик подчеркивает, что GitHub является единственной официальной платформой распространения OFGB. Безопасность загрузок с других веб-сайтов не гарантируется.
📌Альтернативное предложение: Для пользователей, которые хотят вообще не сталкиваться с подобной рекламой, разработчик в шутку предлагает попробовать Linux.
Преимущества OFGB:
📌Простой и понятный интерфейс: OFGB предоставляет простой графический интерфейс пользователя (GUI) с флажками для различных типов рекламы, что позволяет пользователям, не обладающим техническими знаниями, легко отключать рекламу, не обращаясь напрямую к реестру Windows.
📌Комплексное удаление рекламы: OFGB охватывает широкий спектр рекламных объявлений, включая те, что находятся в меню «Пуск», проводнике, на экране блокировки, в приложении «Настройки» и т. д., предоставляя универсальное решение для удаления рекламы.
📌Открытый исходный код и бесплатно: Поскольку OFGB является проектом с открытым исходным кодом, доступным на GitHub, его можно использовать бесплатно, и дорабатывать под свои нужды.
Недостатки OFGB:
📌Ограниченная функциональность: В отличие от более комплексных инструментов, таких как Shutup10 или Wintoys, OFGB ориентирован исключительно на удаление рекламы и не предлагает дополнительных функций для обеспечения конфиденциальности, телеметрии или других настроек Windows.
📌Возможные проблемы с совместимостью: Поскольку сторонний инструмент изменяет реестр Windows, существует риск возникновения проблем с совместимостью или конфликтов с будущими обновлениями Windows, что потенциально может нарушить настройки удаления рекламы.
📌Отсутствие автоматических обновлений: в OFGB отсутствует механизм автоматического обновления, поэтому пользователям может потребоваться вручную проверять и устанавливать новые версии, поскольку Microsoft вводит новые типы объявлений или изменяет разделы реестра.
Для сравнения, такие инструменты, как Shutup10, Wintoys и Tiny11 Builder, предлагают более полную функциональность, включая средства управления конфиденциальностью и телеметрией, параметры настройки и возможность создания пользовательских образов Windows. Однако эти инструменты могут оказаться более сложными в использовании, особенно для пользователей, не обладающих техническими знаниями.
ZScaler (не-)взломан IntelBroker
![](https://media.sponsr.ru/project/3936/post/0/image/124954/imagesprojects93639368072nb3703fb2i1b.webp?1715441782903)
IntelBroker утверждает, что взломал Zscaler и продал доступ к своим системам. Zscaler утверждает, что не было взлома его основных сред и что была затронута только изолированная тестовая среда.
Претензии IntelBroker:
📌IntelBroker, известный злоумышленник, заявил, что взломал системы Zscaler.
📌Злоумышленник предположительно получил доступ к конфиденциальным журналам, содержащим учетные данные, включая доступ по протоколу SMTP, доступ по протоколу PAuth, а также SSL-пароли и сертификаты.
📌IntelBroker предложил продать этот доступ за 20 000 долларов в криптовалюте.
Ответ и выводы Zscaler:
📌Zscaler последовательно отрицает какое-либо влияние или компрометацию своей клиентской, производственной и корпоративной среды.
📌Компания признала факт использования изолированной тестовой среды на одном сервере, который не был подключен к инфраструктуре Zscaler и не содержал никаких клиентских данных.
📌Эта тестовая среда была доступна в Интернете и впоследствии переведена в автономный режим для проведения судебного анализа.
Следственные действия:
📌Компания Zscaler привлекла авторитетную компанию по реагированию на инциденты для проведения независимого расследования.
📌 Компания регулярно обновляет информацию, обеспечивая безопасность своих основных операционных сред.
📌Компания Zscaler подчеркнула, что уязвимость тестовой среды не влияет на безопасность ее основных систем и данных.
Опыт работы и доверие к IntelBroker:
📌У IntelBroker есть опыт громких заявлений о нарушениях, включая предыдущие обвинения в адрес таких высокопоставленных лиц, как Государственный департамент США и различные корпоративные структуры.
📌Злоумышленник также известен предыдущими взломами, в которых участвовали такие компании, как PandaBuy и HomeDepot, и заявлениями о краже данных у General Electric.
Основная причина предполагаемого взлома:
📌Основная причина, по заявлению IntelBroker, заключается в использовании изолированной тестовой среды, которая была непреднамеренно подключена к Интернету.
📌 Расследование Zscaler выявило только это воздействие, которое не касалось каких-либо данных клиента или подключения к его основной инфраструктуре.
Противоречия и текущее состояние расследования:
📌Утверждение IntelBroker о том, что проданный доступ не был предоставлен для тестирования, противоречит выводам Zscaler.
📌Zscaler утверждает, что не было компрометации его основных систем, и предпринял шаги для обеспечения постоянной безопасности своих сред.
ICSpector: Решение проблем криминалистики, о которых вы и не подозревали
![](https://media.sponsr.ru/project/3938/post/0/image/129164/imagesprojects9383938onitik371d5da962.webp?1717330164324)
Microsoft ICS Forensics Tools (ICSpector) — инструмент с открытым исходным кодом, предназначенный для проведения криминалистического анализа промышленных систем управления (ICS), в частности, программируемых логических контроллеров (PLC).
Технические характеристики
Состав и архитектура
📌Модульная конструкция: ICSpector состоит из нескольких компонентов, что обеспечивает гибкость и индивидуальную настройку в зависимости от конкретных потребностей. Пользователи могут также добавлять новые анализаторы.
📌Сетевой сканер: Идентифицирует устройства, взаимодействующие по поддерживаемым протоколам OT, и обеспечивает их работоспособность. Он может работать с предоставленной IP-подсетью или с определенным списком IP-адресов.
📌Извлечение данных и анализатор: Извлекает метаданные и логику ПЛК, преобразуя необработанные данные в удобочитаемую форму, чтобы выделить области, которые могут указывать на вредоносную активность.
Криминалистические возможности
📌Идентификация скомпрометированных устройств: помогает идентифицировать скомпрометированные устройства с помощью ручной проверки, автоматизированного мониторинга или во время реагирования на инциденты.
📌Создание моментальных снимков: Позволяет создавать моментальные снимки проектов контроллеров для сравнения изменений с течением времени, что помогает обнаруживать несанкционированное вмешательство или аномалии.
📌Поддержка ПЛК Siemens: В настоящее время поддерживаются семейства Siemens SIMATIC S7-300 и S7-400, в будущем планируется поддержка других семейств ПЛК.
Интеграция с другими инструментами
📌Microsoft Defender для Интернета вещей: Может использоваться совместно с Microsoft Defender для Интернета вещей, который обеспечивает безопасность на сетевом уровне, непрерывный мониторинг, обнаружение активов, угроз и управление уязвимостями в средах Интернета вещей/OT.
Примеры использования
📌Реагирование на инциденты: активности по реагированию на инциденты позволяют обнаружить скомпрометированные устройства и понять, был ли взломан код ПЛК.
📌Проактивная защита: Помогает в проактивном реагировании на инциденты, сравнивая программы ПЛК на инженерных рабочих станциях с программами на реальных устройствах для обнаружения несанкционированных изменений.
Отрасли
📌Атомные, тепловые и гидроэлектростанции: Электростанции в значительной степени зависят от промышленных систем управления для управления критически важными операциями. ICSpector можно использовать для обеспечения целостности программируемых логических контроллеров, которые управляют этими процессами. Обнаруживая любые аномальные индикаторы или скомпрометированные конфигурации, ICSpector помогает предотвратить сбои в работе, которые могут привести к отключению электроэнергии или угрозе безопасности.
📌Водоочистные сооружения: На этих объектах используются микросхемы управления процессами очистки, обеспечивающие безопасность воды. ICSpector может помочь в мониторинге и проверке целостности ПЛК, гарантируя, что процессы очистки воды не будут нарушены, что имеет решающее значение для здоровья и безопасности населения.
📌Промышленное производство: В производственных условиях микросхемы используются для управления оборудованием и производственными линиями. ICSpector можно использовать для обнаружения любых несанкционированных изменений или аномалий в ПЛК, обеспечивая стабильное качество продукции и предотвращая дорогостоящие простои из-за отказа оборудования.
📌Сектора критической инфраструктуры: сюда входят такие отрасли, как энергетика, водоснабжение, транспорт и системы связи. ICSpector можно использовать для защиты систем управления этими критически важными инфраструктурами от кибератак, обеспечивая их непрерывную и безопасную работу.
📌Предприятия химической промышленности: На этих предприятиях используются микросхемы для управления сложными химическими процессами. ICSpector может помочь в обеспечении безопасности ПЛК, управляющих этими процессами, и их исправности, что жизненно важно для предотвращения опасных инцидентов.
📌Нефтегазовая промышленность: Системы ICS широко используются в нефтегазовом секторе для процессов бурения, переработки и распределения. ICSpector можно использовать для мониторинга и проверки целостности этих систем, предотвращая сбои, которые могут привести к значительным финансовым потерям и ущербу окружающей среде
Взлом Европола
![](https://media.sponsr.ru/project/3936/post/0/image/124952/imagesprojects9363936wo68g23703f50953.webp?1715440803365)
Взлом Европол совершённый IntelBroker, который произошел 10 мая 2024 года, привел к существенной утечке данных, в результате чего была раскрыта особо важная и секретная информация.
📌Детали
IntelBroker, ключевой участник группы по борьбе с кибератаками, был вовлечен в различные резонансные кибер-инциденты, включая более ранние взломы в HSBC и Zscaler. Полученные скомпрометированные данные включают конфиденциальные материалы: информация о сотрудниках альянса, исходный код только для официального использования (FOUO), PDF-файлы, документы для разведки и оперативные инструкции.
📌Затронутые подразделения Европола
Взлом затронул несколько подразделений Европола, в том числе CCSE, EC3, Платформу Европола для экспертов, Форум правоохранительных органов и SIRIUS. Проникновение в эти организации может помешать текущим расследованиям и поставить под угрозу конфиденциальные разведданные, которыми делятся международные правоохранительные органы.
📌Ответ Европола
По состоянию на последние обновления, Европол не делал никаких публичных заявлений о взломе. Однако они подтвердили отдельный инцидент, связанный с их порталом Europol Platform for Experts (EPE), заявив, что в ходе этого конкретного инцидента не было украдено никаких оперативных данных.
Взлом Ascension
![](https://media.sponsr.ru/project/3936/post/0/image/124950/imagesprojects9363936znqnez3703ehcief.webp?1715439623145)
Ascension, одна из крупнейших некоммерческих католических систем здравоохранения в Соединенных Штатах, недавно подверглась серьезной кибератаке, повлиявшей на ее работу в 140 больницах в 19 штатах. Атака была обнаружена в среду и привела к массовым сбоям в работе клиник и обслуживании пациентов.
📌Обзор кибератаки
Кибератака на Ascension была впервые замечена из-за «необычной активности» в некоторых технологических системах. Это привело к отключению электронных медицинских карт, порталов для общения с пациентами, таких как MyChart, и различных систем, используемых для заказа анализов, процедур и лекарств. Это нарушение заставило медицинских работников вернуться к ручным системам для ухода за пациентами, что напоминает о доцифровых временах.
📌Влияние на уход за пациентами
Кибератака серьезно повлияла на обслуживание пациентов в сети Ascension. Машины скорой помощи были перенаправлены, а плановые процедуры, не требующие неотложной помощи, были временно приостановлены для определения приоритетности неотложной помощи. Пациентам было рекомендовано приносить на прием подробные записи о своих симптомах и список лекарств.
📌Первопричина
Тип кибератаки был идентифицирован как атака с использованием программ-вымогателей, в частности, связанных с группой программ-вымогателей Black Basta. Программы-вымогатели Black Basta обычно проникают в сети с помощью таких методов, как фишинговые электронные письма, использование уязвимостей в программном обеспечении или использование скомпрометированных учетных данных.
📌RaaS
Black Basta — это группа программ-вымогателей как услуга (RaaS), которая появилась в начале 2022 года и была связана с несколькими громкими атаками. Группа известна своей тактикой двойного вымогательства, которая заключается в шифровании данных жертвы и угрозах обнародовать их, если выкуп не будет выплачен. Эта группа нацелена на различные сектора, включая здравоохранение, что указывает на характер атак на организации с критически важной инфраструктурой.
📌Точки входа
Точка входа или уязвимость, используемая злоумышленниками, включает в себя первоначальный доступ с помощью фишинга, использование общедоступных приложений, использование ранее скомпрометированных учетных данных для получения более глубокого доступа к сети.
📌Последствия
Этот инцидент является частью более масштабной тенденции увеличения числа кибератак на системы здравоохранения, которые особенно уязвимы из-за критического характера предоставляемых ими услуг и ценных данных, хранящихся в них.
📌Реакция компании
Ascension привлекла компанию Mandiant, занимающуюся кибербезопасностью и дочернюю компанию Google, для оказания помощи в расследовании и устранении последствий. Основное внимание уделяется расследованию нарушения, его локализации и восстановлению затронутых систем. Однако в настоящее время нет точных сроков, когда системы снова заработают в полную силу.
Трассировка лучей на ZX Spectrum: Кому нужны современные графические процессоры, когда Вы можете потратить выходные на рендеринг одного кадра, чтобы доказать, что мазохизм может быть отличным хобби?
![](https://media.sponsr.ru/project/3938/post/0/image/129108/imagesprojects9383938lkyqus371c73gd33.webp?1717271013936)
Проект ZX Raytracer не только демонстрирует возможность внедрения трассировщика лучей в ZX Spectrum, но и служит образовательным ресурсом, посвященным истории вычислительной техники, и источником вдохновения для будущих проектов в области ретро-вычислений, встраиваемых систем и методов оптимизации
Ключевые моменты и потенциальные области применения
📌Реализация Raytracer на устаревшем оборудовании: Проект демонстрирует возможность реализации raytracer, технологии рендеринга графики, требующей больших вычислительных затрат, на ZX Spectrum, домашнем компьютере 1980-х годов с очень ограниченными аппаратными возможностями (процессор Z80A с частотой 3,5 МГц и часто всего 16Кб оперативной памяти).
📌Преодоление аппаратных ограничений: Несмотря на серьезные аппаратные ограничения, проект преодолел такие проблемы, как цветовые ограничения, низкое разрешение 256×176 пикселей и низкую производительность (начальное время рендеринга 17 часов на кадр) благодаря продуманной оптимизации и приближениям.
📌Образовательный инструмент: Проект может быть использован в качестве учебного пособия на курсах информатики, особенно тех, которые посвящены компьютерной графике, методам оптимизации или низкоуровневому программированию.
📌Выставки ретро-игр и демосцены: Raytracer можно демонстрировать на ретро-компьютерных мероприятиях, вечеринках-демосценах или выставках, посвященных достижениям винтажного оборудования и программирования.
📌Разработка встраиваемых систем: Методы оптимизации и аппроксимации, использованные в этом проекте, могут вдохновить разработчиков, работающих над встраиваемыми системами или устройствами с ограниченными ресурсами, где решающее значение имеет эффективное использование ограниченных ресурсов.
📌Знакомство с историей вычислительной техники: Проект может быть представлен в музеях или на выставках, посвященных истории вычислительной техники, демонстрируя изобретательность и творческий подход первых программистов, работавших с ограниченными аппаратными ресурсами.
📌Вдохновение для будущих проектов: Успех этого проекта может побудить других изучить возможности устаревшего оборудования или взяться за аналогичные сложные проекты, расширяя границы возможного на старых системах.
Взлом Dell
![](https://media.sponsr.ru/project/3936/post/0/image/124947/imagesprojects9363936fhy1n33703e8ecj9.webp?1715438196831)
📌Компания Dell сообщает о нарушении безопасности: компания Dell Technologies подтвердила серьезную утечку данных, связанную с базой данных, используемой для хранения информации о покупках клиентов. Нарушение, о котором стало известно 10 мая 2024 года, затронуло около 49 миллионов клиентов. Украденные данные включают имена клиентов, физические адреса и сведения об оборудовании Dell, но не содержат конфиденциальной информации, такой как платежные реквизиты. Компания Dell инициировала расследование, уведомила правоохранительные органы и наняла стороннюю судебно-медицинскую фирму для дальнейшего расследования инцидента.
📌Подробная информация о взломе: Взлом был осуществлен с использованием незащищенного API, подключенного к партнерскому порталу. Злоумышленник, известный как Menelik, утверждал, что с помощью этого метода он удалил информацию из 49 миллионов записей клиентов. Эти данные включают в себя широкий спектр сведений об оборудовании, таких как сервисные метки, описания товаров, даты заказа и сведения о гарантии. Как сообщается, компания Dell была уведомлена об уязвимости злоумышленником до того, как данные были выставлены на продажу на хакерском форуме, но взлом был локализован примерно через две недели.
📌Уведомление клиентов и ответ на него: Компания Dell разослала своим клиентам уведомления, предупреждающие их о взломе. Компания преуменьшила значимость украденных данных, заявив, что они не включают финансовую или особо важную информацию о клиентах. Однако компания Dell посоветовала клиентам проявлять бдительность в отношении потенциальных мошенников из службы технической поддержки, которые могут использовать украденные данные об оборудовании для выдачи себя за специалистов службы поддержки Dell.
📌Правовые и регулятивные последствия: Этот инцидент дополняет серию утечек данных, с которыми Dell сталкивалась на протяжении многих лет, и вызывает обеспокоенность по поводу мер защиты данных и практики кибербезопасности компании. Предыдущие нарушения приводили к коллективным судебным искам и расследованиям со стороны уполномоченных по защите конфиденциальности, что подчеркивало правовые и нормативные последствия для Dell.
📌Меры и рекомендации по кибербезопасности: В ответ на это нарушение компания Dell подчеркнула свою приверженность кибербезопасности, предложив различные услуги и решения, направленные на повышение ИТ-безопасности и киберустойчивости. Компания предоставляет широкий спектр продуктов и консультационных услуг, направленных на улучшение возможностей обнаружения угроз, реагирования на них и восстановления киберпространства
FIDO2: Устойчив к фишингу, но не к токенам
![](https://media.sponsr.ru/project/3938/post/0/image/129106/imagesprojects938393882hpq7371c5eacd4.webp?1717266325707)
В статье рассказывается о том, как MITM-атаки могут обойти защиту FIDO2 от фишинга; подробно описывается процесс аутентификации в FIDO2, освещаются уязвимости в обработке токенов сеанса и приводятся реальные примеры, связанные с использованием единого входа Entra ID, PingFederate и Yubico Playground, а также стратегии устранения неполадок для повышения безопасности.
FIDO2
📌FIDO2 — это современный стандарт аутентификации без пароля, разработанный Альянсом FIDO Alliance для замены паролей
📌Он предназначен для защиты от фишинга, атак типа «человек посередине» (MITM) и перехвата сеанса
📌Процесс аутентификации включает в себя регистрацию устройства и аутентификацию с использованием криптографии с открытым ключом
Функции безопасности FIDO2
📌FIDO2 разработан для предотвращения фишинговых атак, MITM и перехвата сеанса
📌 Однако исследование показало, что реализации FIDO2 часто не защищают токены сеанса после успешной аутентификации
Атака на FIDO2 с помощью MITM
📌Автор исследовал атаки MITM на поставщиков идентификационных данных (IDP)
📌 Хотя MITM сложнее использовать с помощью TLS, такие методы, как подмена DNS, отравление ARP и кража сертификатов, могут помочь в этом
📌Выполнив MITM для IdP, злоумышленник может перехватить токен сеанса после проверки подлинности FIDO2
EntraID SSO (Microsoft)
📌Обзор: Entra ID SSO — это решение для единого входа, которое поддерживает различные протоколы единого входа и современные методы аутентификации, включая FIDO2.
📌Уязвимость: Исследование показало, что злоумышленник может перехватывать сеансы, используя способ, которым Entra ID обрабатывает токены сеанса.
📌Метод атаки: Злоумышленнику не нужно ретранслировать весь процесс аутентификации. Вместо этого он может использовать подписанный токен, предоставленный IdP, срок действия которого составляет один час. Этот токен может быть повторно использован в течение допустимого периода времени для создания файлов cookie состояния на более длительный период.
📌Пример: Собственное приложение портала управления Azure не проверяет токен, предоставленный службой единого входа, что позволяет злоумышленнику использовать украденный токен для получения несанкционированного доступа.
PingFederate
📌Обзор: PingFederate — это решение для единого входа, которое использует сторонние адаптеры для выполнения аутентификации. Эти адаптеры могут быть объединены в поток политики аутентификации.
📌Уязвимость: Исследование показало, что если разработчик, которому доверяют, не проверит токен OIDC (или SAML-ответ), атака MITM может быть успешной.
📌Метод атаки: Атака использует самое слабое звено в цепочке аутентификации. Поскольку протоколы единого входа основаны на предоставлении токенов, которые могут быть повторно использованы различными устройствами, злоумышленник может перехватить сеанс, украв эти токены.
📌Пример: Адаптер PingOne можно использовать с поддержкой FIDO2. Если токен OIDC не будет подтвержден, злоумышленник может обойти защиту FIDO2 и получить несанкционированный доступ.
Yubico Playground
📌Обзор: Yubico Playground — это среда тестирования функций и ключей безопасности FIDO.
📌Уязвимость: Исследование показало, что можно использовать простой сеансовый файл cookie, сгенерированный после аутентификации FIDO2.
📌Метод атаки: На устройстве, запросившем сеансовый файл cookie, отсутствует проверка подлинности. Любое устройство может использовать этот файл cookie до истечения срока его действия, что позволяет злоумышленнику обойти этап аутентификации.
📌Пример: Получив файл cookie сеанса, злоумышленник может получить доступ к личному кабинету пользователя и удалить ключ безопасности из профиля пользователя, демонстрируя простой сценарий перехвата сеанса