#Событие #Криптовалюта #Кража #Coincheck

В продолжении вчерашней статистики новость от "Хакера". Японскую криптовалютную биржу Coincheck ограбили на 533 мл. $ США. Пока биржа зализывает раны, разработчик украденной валюты NEM уже дает заявление о проблемах "на другой стороне". Со слов главы NEM Foundation ничего подобного не случилось бы, если бы биржа не принебрегала контрактами с мультиподписью. Интересный философский вопрос: кто несет ответственность за подобные инциденты. Клиент, который не настроил необходимые параметры безопасности системы, или разработчик, который оставил за клиентом возможность выбирать настройки?

Современные технологии все чаще исходят из презумпции глупости человека, работая в безопасном режиме "по-умолчанию". И это представляется разумным. Когда тебе приходится ежедневно работать с десятком разных ИС: от личного Android и умного авто, до корпаративной службы каталогов, ты физически не можешь корректно настроить все правильно. Жизни не хватит, чтобы разобраться в тонкостях для каждой из них. Поэтому в таких ситуациях основная ответственность лежит скорее на разработчиках, дистрибьютерах и интеграторах, а не на пользователях, которые естественным путем хотят попроще и побыстрее.

Источник: https://xakep.ru/2018/01/27/coincheck-got-robbed/

#Ликбез #FilelessAttack

Многие думают, что топовые хакеры - это небожители, которые используют ультрокрутые тулзы, 0-day уязвимости и вооружены не хуже АНБ. В реальности все прозаичнее и львиная доля успеха достигается использованием системных команд, стандартных утилит, дефолтных учеток и общеизвестных уязвимостей. С учетом человеческой халатности и доступности информации в сети Интернет, пушистый сисадмин может легко устроить локальный апокалипсис или скромную утечку, сравнимые с действиями профессионалов.  Все что нужно - общая компьютерная грамотность, терпение и умение пользоваться интернетом. Сегодня посмотрим, какие тулзы используют профи для Fileless Attack и почитаем тематические материалы. Для начала статья про сабж для тех, кто незнаком с термином: https://www.csoonline.com/article/3227046/malware/what-is-a-fileless-attack-how-hackers-invade-systems-without-installing-software.html

Список наиболее популярных тулз у различных хакерских групп из отчета ISTR.

Сам отчет, для желающих dig in....

#Событие #ПДн #СоцСети #Боты

Infowatch делится скандальчиком вокруг компании Devumi (США), которая занимается продвижением страничек клиентов в социальных сетях. Прокуратора США завела дело, на основании использования Devumi ботов с ПДн реальных граждан. Ситуация интересная, с учетом того что мы видим в отечественном "Вконтактике". По-видимому скоро, если уже не сейчас, мы сможем говорить о новом виде мошенничества. Представьте что можно будет сделать с использованием фейковых аккаунтов в будущем, если удасться прикрутить к ботам вменяемого робота, который сможет вести разумный диалог на заданную тему и осуществлять различные осмысленные операции через API соцсети (оставлять комментарии, делать репосты, ставить лайки или жаловаться на нехорошее поведение). Дальше больше: если возникновение полноценных андроидов с человеческой мимикой и координацией станет реальностью (гуглите "Sophia robot"), любители социальной инженерии получат отличный инструмент реализации влажных желаний. Вообщем, чем дальше в лес, тем шире скоуп, который охватывает любимая аббревиатура "ИБ", и тем больше шансов, что в будущем мы услышим ещё больше интересных новостей. ☺️

Источник: https://www.infowatch.ru/analytics/leaks_monitoring/19758?utm_source=twitter&utm_medium=social&utm_content=devumi_using_bots_to_promote_on_social_media&utm_campaign=analytics

#FYI
По последним данным Canalys, рынок ИБ на 3 квартал 2017 года вырос на 9% по сравнению с аналогичным периодом 2016 года. Лидер по темпам роста - компания Cisco.

#Событие #Инциденты #SIEM #ДискуссионныйВопрос #СексуальноеДомагательство

Портал TorontoSun опубликовал занятный материал о полицейской, которую оштрафовали за то, что она не сразу сообщила о фактах сексуального домогательства со стороны коллеги. Весной 2015 года виновная получала непристойные тексты и фотографии от другого копа, на которых была запечатлена "Анаконда" - так любвеобильный коллега называл своего "дружка". Пока неясно, что послужило причиной задержки сообщения об инциденте, но ясно одно - забавная ситуация, порожденная самым справедливым судом в мире - отличный повод подумать над сферой ответственности сторон и нашему отношению к процессу реагирования на инциденты.

Мы живем во времена смены парадигмы. В 20 веке, во времена Холодной Войны, железных занавесов и независимых экономик инциденты не подлежали огласке. Подобные происшествия рассматривались как слабина. Открыть их, значило сдать карты врагу. А так как ИБ как отрасль изначально формировалась под сильным влиянием военных и спецслужб, эта парадигма стала массовой и породила модель "не выносить сор из избы". Но в 21 веке, во времена тотальной глобализации и нашей зависимости от сложных, распределенных информационных систем, на которые влиет множество организаций, такая закрытость может оборачиваться злом. Возникает прямо обратная задача: как можно быстрее сообщить в компетентные органы, отраслевые CERT-ы и различные СМИ информацию об инциденте, чтобы он не успел распространиться дальше и был подавлен в зародыше.  Так, возникает модель "сурка": как только один зверек сталкивается с опасностью, то начинает верещать и помогает остальным мобилизоваться.

Как и при любой "смене парадигмы", было бы наивно полагать, что один подход когда-нибудь полностью вытеснит другой. Скорее речь идет о разных философиях безопасности. В каких-то отраслях и сферах деятельности будет по-прежнему доминировать закрытость, в каких-то - участники игры будут договариваться между собой и делиться новостями по закрытым каналам, а где-то наступит полноценная открытость. Например, в GDPR на уровне документа заложена необходимость уведомления надзорного органа об инциденте. Дальше больше: согласно GDPR, если инцидент затрагивает права человека, то необходимо уведомить и его.

Такой подход представляется справедливым, но остается единственный вопрос. Где провести грань между конфиденциальностью информации и правами людей, которые от деятельности этой организации зависят и имеют право знать what's going on? И единственный ответ: это зависит от...

Источник: http://torontosun.com/news/local-news/cop-who-received-anaconda-penis-photo-docked-pay

#Полезное #Hardening

Рано или поздно любой безопасник сталкивается с необходимостью прокачки технических скиллов. Хорошо, если вы много лет были системным администратором и изнутри знаете сети, ОС и языки программирования. Но что делать, если такой опыт отсутствует? На наш взгляд один из лучших способов решения проблемы - изучение харденинга. Харденинг - это буквально "укрепление" системы путем её безопасной конфигурации. Как ИБ-ки мы должны понимать принципы "правильной" настройки систем. Решать проблемы производительности и эксплуатации будут админы. Они же будут критиковать предложенными нами меры и бить по рукам в случае рисков для бизнеса. Поэтому, если у вас нет времени изучать сисадминскую кухню, но необходимо понять как устроена та или иная система с точки зрения параметров безопасности - харденинг это то, что вам нужно. Безопасно настраивая целевую систему вы не только лучше узнаете её, но и незаметно для себя подтягиваете сопутствующие навыки. Рекомендуем Information Hardening нашей подруги @Li11ian , где на примере отдельных практических заданий разбираются конфигурации различных систем.

Ссылка: https://t.me/informhardening

#Новости #Обзор #ДайджестИБ #RVision

Внезапно обнаружили неплохой источник информации по новостям ИБ на русском языке. Компания RVision педантично публикует свои обзоры, которые могут стать отличным подспорьем в расширении кругозора. Рекомендуем ознакомиться с форматом публикаций на примере крайнего обзора: https://rvision.pro/blog-posts/digest-129/

#Карьера #Статья

TechTarget опубликовал статью про возрастные лимиты программистов. Большинство наших подписчиков молоды, но мы мементо морим и задумываемся о будущем уже сейчас. Наверное, все видели спецов, которые застряли в одной нише. Стали вечными исполнителями одной роли. И хотя такие спецы могут быть профи и пользоваться заслуженным уважением коллег, их судьбе не позавидуешь. На рынке они мало кому нужны и с трудом найдут аналогичную работу за дверями родной организации. Чтобы не попасть в карьерную петлю стоит задумываться о том, что ты будешь делать на пятом десятке уже в институте. Для России с её традициями патернализма такой подход кажется диковинным, но кто кроме самого тебя обеспечит тебе хорошую старость в условиях свирепого капитализма? Давайте вместе почитаем статью и задумаемся, а что ждет нас в 45 лет?

Источник: http://searchsoftwarequality.techtarget.com/opinion/Is-there-a-software-developer-age-limit-Apparently-its-45?track=NL-1806&ad=919055&src=919055&asrc=EM_NLN_88791584&utm_medium=EM&utm_source=NLN&utm_campaign=20180202_How%20to%20survive%20in%20development%20after%2045

#Полезное #CERT

Приходиться разрабатывать стандарты, быть в курсе лучших практик и владеть отраслевыми рекомендациями? В эпоху интернета в сети можно найти все, что угодно. Вопрос только в качестве и структурированности информации. Предлагаем вашему вниманию полезный сайт ICS-CERT (группа реагирования на инциденты ИБ в США), который можно использовать в качестве интерактивного справочника по гайдам, стандартам и рекомендациям. Материалы сайта отлично структурированны и обновляются по мере изменения документации. Рекомендуем для использования в работе, особенно консультантам и архитекторам. Не поленитесь изучить сайт, внутри много толковой аналитики и новостей. Именно так, запасаясь линками в диспетчере закладок, мы формируем наш уникальный пулл источников полезной информации - незаменимый элемент в туллките профессионала.

Ссылка: https://ics-cert.us-cert.gov/Standards-and-References#estab

#FYI #Полезное #Событие
Да будет праздник на улице реверс-инжениринга!

Вчера появилась 7-ая версия интерактивного дизассемблера IDA, популярного инструмента для реверс-инжиниринга, используемого по всему миру. О новом релизе в своем твиттере сообщил создатель IDA - Ильфак Гильфанов.

Новая версия уже доступна на официальном сайте для Windows/Linux/Mac: https://www.hex-rays.com/products/ida/support/download_freeware.shtml

#Событие #Криптоджекинг

Хакер сообщает об обнаружении майнинговых скриптов в рекламе YouTube. Используя сервис Google DoubleClick злоумышленники размещали скрипты в рекламе, которая поглощала примерно 80% ресурса CPU жертв и майнила валюту Monero. По информации Хакера скрипты обнаруживаются почти всеми современными антивирусами и легко устраняются блокировщиками рекламы. Поэтому если вы ещё не пользуйтесь расширением браузера Adblock Plus или его аналогами, рекомендуем вам заняться их установкой.  

Источник: https://xakep.ru/2018/01/29/coinhive-on-youtube/

#FYI #WAF #CSRF

Для любителей помучить веб-приложения предлагаем к ознакомлению 2 материала:

1. Обход WAF с использованием двух кодировок в XML файле.
2. Похищение CSRF токенов через CSS иньекцию (не путать с XSS) без использования iframe.

Первый | Второй

Не могли пройти мимо новой игрушки. Один товарищ написал тулзу, которая используя API поискового движка Shodan ищет доступные IoT устройства, а затем проводит анализ доступных для устройства эксплойтов в Metasploit и ломает девайс (https://xakep.ru/2018/02/01/autosploit/ ). Ещё никогда хакинг не был таким удобным. Некоторые спецы уже осудили автора, который открыл шкатулку пандоры. Они считают, что автор вооружил скрипт-кидди мощным оружием, но сам создатель думает иначе. С его точки зрения эта утилита - всего лишь инструмент, который можно использовать по-разному. Должны ли люди скрывать подобное или потенциально опасные тулзы следует делать общедоступными? Вопрос непростой, как и с распространением огнестрельного оружия. А пока сетевые философы гадают над этической стороной вопроса, мы предлагаем желающим ссылку на репозиторий AutoSploit: https://github.com/NullArray/AutoSploit

#FYI
Заниматься информационной безопасностью нынче модно, но что позволяет определить по-настоящему востребованность выбранного направления?

Обновление образовательных программ, увеличение бюджетных мест по направлениям ИБ в ВУЗах, рост рынка отрасли и... когда такие крупные IT компании, как Яндекс открывают свои школы ИБ :)))

Увы только Москва, увы пройдут единицы, да - только для молодых специалистов и студентов ВУЗов, но попробовать стоит. Для регистрации необходимо заполнить анкету и выполнить несколько (не менее 5) тестовых заданий. Удачи ❤️

https://academy.yandex.ru/events/system_administration/msk-2018/

#Юмор #Web
Суть сегодняшней веб-безопасности

#Новость #Ростелеком #SolarSecurity #Поглощение

РБК сообщает о продолжающейся экспансии Ростелекома. На этот раз провайдер-монополист обратил свой взор на рынок ИБ. Сообщается о планируемой покупке компании Solar Security, известной своими услугами по мониторингу состояния ИБ и аутсорсингу SOC для различных организаций. Помимо чисто экономических интересов в этом шаге угадывается желание Ростелекома нарастить ИБ-е компетенции, чтобы соответствовать запросам государства и международным практикам.  Трудно сказать как это на практике скажется на работе самого Ростелекома. Окажет ли поглощение тонизирующий эффект на всю компанию, или Solar Security останется обособленным подразделением со своими порядками? Скорее всего произойдет последнее, но если нам повезет, то мы получим интересного работадателя для безопасников. Только представьте, что можно наворотить, используя наработки Solar Security в масштабах сети Ростелекома. Яровой и не снилось.

Источник: https://www.rbc.ru/technology_and_media/07/02/2018/5a79c03e9a79470b559e77f0

#Событие #Facebook #Роскомнадзор #ПДн #Мем

Мы привыкли ругать отечественные госорганы, но бывают моменты когда хочется умиляться ими, как милым, но хитрым ребенком. Роскомсвобода сообщает о встрече представителей Роскомнадзора и Госдумы с менеджментом Facebook. Ведомство планирует устроить комплексную проверку гиганта на предмет исполнения законодательства Российской Федерации во второй половине 2018 года и рассчитывает на сотрудничество в вопросах онлайн-безопасности. В этой новости интересно не сколько повестка - тем же самым занимаются подобные органы по всему миру (GDPR-же), сколько упорные и достаточно успешные попытки органов власти нацепить человеческое лицо, чтобы идти в ногу со временем. Конечно, не все получается ярко и живо, и ещё много картонно-бюрократического-советсткого нам придется преодолеть, но наши чиновники стараются, чтобы в застенках цифрового концлагеря мы видели румяное и добродушное лицо Большого Брата. Там поблагодим же их за это, товарищи!

Источник: https://roskomsvoboda.org/36178/