Size: a a a

Киберпиздец

2018 January 28
Киберпиздец
#Событие #Криптовалюта #Кража #Coincheck

В продолжении вчерашней статистики новость от "Хакера". Японскую криптовалютную биржу Coincheck ограбили на 533 мл. $ США. Пока биржа зализывает раны, разработчик украденной валюты NEM уже дает заявление о проблемах "на другой стороне". Со слов главы NEM Foundation ничего подобного не случилось бы, если бы биржа не принебрегала контрактами с мультиподписью. Интересный философский вопрос: кто несет ответственность за подобные инциденты. Клиент, который не настроил необходимые параметры безопасности системы, или разработчик, который оставил за клиентом возможность выбирать настройки?

Современные технологии все чаще исходят из презумпции глупости человека, работая в безопасном режиме "по-умолчанию". И это представляется разумным. Когда тебе приходится ежедневно работать с десятком разных ИС: от личного Android и умного авто, до корпаративной службы каталогов, ты физически не можешь корректно настроить все правильно. Жизни не хватит, чтобы разобраться в тонкостях для каждой из них. Поэтому в таких ситуациях основная ответственность лежит скорее на разработчиках, дистрибьютерах и интеграторах, а не на пользователях, которые естественным путем хотят попроще и побыстрее.

Источник: https://xakep.ru/2018/01/27/coincheck-got-robbed/
источник
2018 January 29
Киберпиздец
#Ликбез #FilelessAttack

Многие думают, что топовые хакеры - это небожители, которые используют ультрокрутые тулзы, 0-day уязвимости и вооружены не хуже АНБ. В реальности все прозаичнее и львиная доля успеха достигается использованием системных команд, стандартных утилит, дефолтных учеток и общеизвестных уязвимостей. С учетом человеческой халатности и доступности информации в сети Интернет, пушистый сисадмин может легко устроить локальный апокалипсис или скромную утечку, сравнимые с действиями профессионалов.  Все что нужно - общая компьютерная грамотность, терпение и умение пользоваться интернетом. Сегодня посмотрим, какие тулзы используют профи для Fileless Attack и почитаем тематические материалы. Для начала статья про сабж для тех, кто незнаком с термином: https://www.csoonline.com/article/3227046/malware/what-is-a-fileless-attack-how-hackers-invade-systems-without-installing-software.html
источник
Киберпиздец
Список наиболее популярных тулз у различных хакерских групп из отчета ISTR.
источник
Киберпиздец
Сам отчет, для желающих dig in....
источник
Киберпиздец
источник
2018 January 30
Киберпиздец
#Событие #ПДн #СоцСети #Боты

Infowatch делится скандальчиком вокруг компании Devumi (США), которая занимается продвижением страничек клиентов в социальных сетях. Прокуратора США завела дело, на основании использования Devumi ботов с ПДн реальных граждан. Ситуация интересная, с учетом того что мы видим в отечественном "Вконтактике". По-видимому скоро, если уже не сейчас, мы сможем говорить о новом виде мошенничества. Представьте что можно будет сделать с использованием фейковых аккаунтов в будущем, если удасться прикрутить к ботам вменяемого робота, который сможет вести разумный диалог на заданную тему и осуществлять различные осмысленные операции через API соцсети (оставлять комментарии, делать репосты, ставить лайки или жаловаться на нехорошее поведение). Дальше больше: если возникновение полноценных андроидов с человеческой мимикой и координацией станет реальностью (гуглите "Sophia robot"), любители социальной инженерии получат отличный инструмент реализации влажных желаний. Вообщем, чем дальше в лес, тем шире скоуп, который охватывает любимая аббревиатура "ИБ", и тем больше шансов, что в будущем мы услышим ещё больше интересных новостей. ☺️

Источник: https://www.infowatch.ru/analytics/leaks_monitoring/19758?utm_source=twitter&utm_medium=social&utm_content=devumi_using_bots_to_promote_on_social_media&utm_campaign=analytics
источник
2018 January 31
Киберпиздец
#FYI
По последним данным Canalys, рынок ИБ на 3 квартал 2017 года вырос на 9% по сравнению с аналогичным периодом 2016 года. Лидер по темпам роста - компания Cisco.
источник
Киберпиздец
#Событие #Инциденты #SIEM #ДискуссионныйВопрос #СексуальноеДомагательство

Портал TorontoSun опубликовал занятный материал о полицейской, которую оштрафовали за то, что она не сразу сообщила о фактах сексуального домогательства со стороны коллеги. Весной 2015 года виновная получала непристойные тексты и фотографии от другого копа, на которых была запечатлена "Анаконда" - так любвеобильный коллега называл своего "дружка". Пока неясно, что послужило причиной задержки сообщения об инциденте, но ясно одно - забавная ситуация, порожденная самым справедливым судом в мире - отличный повод подумать над сферой ответственности сторон и нашему отношению к процессу реагирования на инциденты.

Мы живем во времена смены парадигмы. В 20 веке, во времена Холодной Войны, железных занавесов и независимых экономик инциденты не подлежали огласке. Подобные происшествия рассматривались как слабина. Открыть их, значило сдать карты врагу. А так как ИБ как отрасль изначально формировалась под сильным влиянием военных и спецслужб, эта парадигма стала массовой и породила модель "не выносить сор из избы". Но в 21 веке, во времена тотальной глобализации и нашей зависимости от сложных, распределенных информационных систем, на которые влиет множество организаций, такая закрытость может оборачиваться злом. Возникает прямо обратная задача: как можно быстрее сообщить в компетентные органы, отраслевые CERT-ы и различные СМИ информацию об инциденте, чтобы он не успел распространиться дальше и был подавлен в зародыше.  Так, возникает модель "сурка": как только один зверек сталкивается с опасностью, то начинает верещать и помогает остальным мобилизоваться.

Как и при любой "смене парадигмы", было бы наивно полагать, что один подход когда-нибудь полностью вытеснит другой. Скорее речь идет о разных философиях безопасности. В каких-то отраслях и сферах деятельности будет по-прежнему доминировать закрытость, в каких-то - участники игры будут договариваться между собой и делиться новостями по закрытым каналам, а где-то наступит полноценная открытость. Например, в GDPR на уровне документа заложена необходимость уведомления надзорного органа об инциденте. Дальше больше: согласно GDPR, если инцидент затрагивает права человека, то необходимо уведомить и его.

Такой подход представляется справедливым, но остается единственный вопрос. Где провести грань между конфиденциальностью информации и правами людей, которые от деятельности этой организации зависят и имеют право знать what's going on? И единственный ответ: это зависит от...

Источник: http://torontosun.com/news/local-news/cop-who-received-anaconda-penis-photo-docked-pay
источник
2018 February 01
Киберпиздец
#Полезное #Hardening

Рано или поздно любой безопасник сталкивается с необходимостью прокачки технических скиллов. Хорошо, если вы много лет были системным администратором и изнутри знаете сети, ОС и языки программирования. Но что делать, если такой опыт отсутствует? На наш взгляд один из лучших способов решения проблемы - изучение харденинга. Харденинг - это буквально "укрепление" системы путем её безопасной конфигурации. Как ИБ-ки мы должны понимать принципы "правильной" настройки систем. Решать проблемы производительности и эксплуатации будут админы. Они же будут критиковать предложенными нами меры и бить по рукам в случае рисков для бизнеса. Поэтому, если у вас нет времени изучать сисадминскую кухню, но необходимо понять как устроена та или иная система с точки зрения параметров безопасности - харденинг это то, что вам нужно. Безопасно настраивая целевую систему вы не только лучше узнаете её, но и незаметно для себя подтягиваете сопутствующие навыки. Рекомендуем Information Hardening нашей подруги @Li11ian , где на примере отдельных практических заданий разбираются конфигурации различных систем.

Ссылка: https://t.me/informhardening
источник
2018 February 02
Киберпиздец
#Новости #Обзор #ДайджестИБ #RVision

Внезапно обнаружили неплохой источник информации по новостям ИБ на русском языке. Компания RVision педантично публикует свои обзоры, которые могут стать отличным подспорьем в расширении кругозора. Рекомендуем ознакомиться с форматом публикаций на примере крайнего обзора: https://rvision.pro/blog-posts/digest-129/
источник
2018 February 03
Киберпиздец
#Карьера #Статья

TechTarget опубликовал статью про возрастные лимиты программистов. Большинство наших подписчиков молоды, но мы мементо морим и задумываемся о будущем уже сейчас. Наверное, все видели спецов, которые застряли в одной нише. Стали вечными исполнителями одной роли. И хотя такие спецы могут быть профи и пользоваться заслуженным уважением коллег, их судьбе не позавидуешь. На рынке они мало кому нужны и с трудом найдут аналогичную работу за дверями родной организации. Чтобы не попасть в карьерную петлю стоит задумываться о том, что ты будешь делать на пятом десятке уже в институте. Для России с её традициями патернализма такой подход кажется диковинным, но кто кроме самого тебя обеспечит тебе хорошую старость в условиях свирепого капитализма? Давайте вместе почитаем статью и задумаемся, а что ждет нас в 45 лет?

Источник: http://searchsoftwarequality.techtarget.com/opinion/Is-there-a-software-developer-age-limit-Apparently-its-45?track=NL-1806&ad=919055&src=919055&asrc=EM_NLN_88791584&utm_medium=EM&utm_source=NLN&utm_campaign=20180202_How%20to%20survive%20in%20development%20after%2045
источник
Киберпиздец
#Полезное #CERT

Приходиться разрабатывать стандарты, быть в курсе лучших практик и владеть отраслевыми рекомендациями? В эпоху интернета в сети можно найти все, что угодно. Вопрос только в качестве и структурированности информации. Предлагаем вашему вниманию полезный сайт ICS-CERT (группа реагирования на инциденты ИБ в США), который можно использовать в качестве интерактивного справочника по гайдам, стандартам и рекомендациям. Материалы сайта отлично структурированны и обновляются по мере изменения документации. Рекомендуем для использования в работе, особенно консультантам и архитекторам. Не поленитесь изучить сайт, внутри много толковой аналитики и новостей. Именно так, запасаясь линками в диспетчере закладок, мы формируем наш уникальный пулл источников полезной информации - незаменимый элемент в туллките профессионала.

Ссылка: https://ics-cert.us-cert.gov/Standards-and-References#estab
источник
Киберпиздец
#FYI #Полезное #Событие
Да будет праздник на улице реверс-инжениринга!

Вчера появилась 7-ая версия интерактивного дизассемблера IDA, популярного инструмента для реверс-инжиниринга, используемого по всему миру. О новом релизе в своем твиттере сообщил создатель IDA - Ильфак Гильфанов.

Новая версия уже доступна на официальном сайте для Windows/Linux/Mac: https://www.hex-rays.com/products/ida/support/download_freeware.shtml
источник
2018 February 04
Киберпиздец
#Событие #Криптоджекинг

Хакер сообщает об обнаружении майнинговых скриптов в рекламе YouTube. Используя сервис Google DoubleClick злоумышленники размещали скрипты в рекламе, которая поглощала примерно 80% ресурса CPU жертв и майнила валюту Monero. По информации Хакера скрипты обнаруживаются почти всеми современными антивирусами и легко устраняются блокировщиками рекламы. Поэтому если вы ещё не пользуйтесь расширением браузера Adblock Plus или его аналогами, рекомендуем вам заняться их установкой.  

Источник: https://xakep.ru/2018/01/29/coinhive-on-youtube/
источник
2018 February 05
Киберпиздец
#FYI #WAF #CSRF

Для любителей помучить веб-приложения предлагаем к ознакомлению 2 материала:

1. Обход WAF с использованием двух кодировок в XML файле.
2. Похищение CSRF токенов через CSS иньекцию (не путать с XSS) без использования iframe.

Первый | Второй
источник
2018 February 06
Киберпиздец
Не могли пройти мимо новой игрушки. Один товарищ написал тулзу, которая используя API поискового движка Shodan ищет доступные IoT устройства, а затем проводит анализ доступных для устройства эксплойтов в Metasploit и ломает девайс (https://xakep.ru/2018/02/01/autosploit/ ). Ещё никогда хакинг не был таким удобным. Некоторые спецы уже осудили автора, который открыл шкатулку пандоры. Они считают, что автор вооружил скрипт-кидди мощным оружием, но сам создатель думает иначе. С его точки зрения эта утилита - всего лишь инструмент, который можно использовать по-разному. Должны ли люди скрывать подобное или потенциально опасные тулзы следует делать общедоступными? Вопрос непростой, как и с распространением огнестрельного оружия. А пока сетевые философы гадают над этической стороной вопроса, мы предлагаем желающим ссылку на репозиторий AutoSploit: https://github.com/NullArray/AutoSploit
источник
Киберпиздец
#FYI
Заниматься информационной безопасностью нынче модно, но что позволяет определить по-настоящему востребованность выбранного направления?

Обновление образовательных программ, увеличение бюджетных мест по направлениям ИБ в ВУЗах, рост рынка отрасли и... когда такие крупные IT компании, как Яндекс открывают свои школы ИБ :)))

Увы только Москва, увы пройдут единицы, да - только для молодых специалистов и студентов ВУЗов, но попробовать стоит. Для регистрации необходимо заполнить анкету и выполнить несколько (не менее 5) тестовых заданий. Удачи ❤️

https://academy.yandex.ru/events/system_administration/msk-2018/
Школа информационной безопасности
1 февраля 2018 года открывается набор в Школу информационной безопасности Яндекса в Москве. Мы приглашаем студентов старших курсов и начинающих специалистов.


Для поступления нужно знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, знать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.
Слушателей ждут лекции и практические задания по инфраструктурной и продуктовой безопасности, которые проведут специалисты Яндекса. Участникам расскажут о безопасной разработке приложений, форензике, построении безопасной сетевой и серверной инфраструктуры в Яндексе.
Программа рассчитана на один месяц. Занятия будут проходить в будни по вечерам со 2 по 27 апреля 2018 года в московском офисе компании. Иногородним участникам мы оплатим проезд и проживание в хостеле.


Обучение в Школе завершится экзаменом. Самые активные и успешные участники получат предложения пройти стажировку…
источник
2018 February 07
Киберпиздец
#Юмор #Web
Суть сегодняшней веб-безопасности
источник
2018 February 08
Киберпиздец
#Новость #Ростелеком #SolarSecurity #Поглощение

РБК сообщает о продолжающейся экспансии Ростелекома. На этот раз провайдер-монополист обратил свой взор на рынок ИБ. Сообщается о планируемой покупке компании Solar Security, известной своими услугами по мониторингу состояния ИБ и аутсорсингу SOC для различных организаций. Помимо чисто экономических интересов в этом шаге угадывается желание Ростелекома нарастить ИБ-е компетенции, чтобы соответствовать запросам государства и международным практикам.  Трудно сказать как это на практике скажется на работе самого Ростелекома. Окажет ли поглощение тонизирующий эффект на всю компанию, или Solar Security останется обособленным подразделением со своими порядками? Скорее всего произойдет последнее, но если нам повезет, то мы получим интересного работадателя для безопасников. Только представьте, что можно наворотить, используя наработки Solar Security в масштабах сети Ростелекома. Яровой и не снилось.

Источник: https://www.rbc.ru/technology_and_media/07/02/2018/5a79c03e9a79470b559e77f0
источник
2018 February 09
Киберпиздец
#Событие #Facebook #Роскомнадзор #ПДн #Мем

Мы привыкли ругать отечественные госорганы, но бывают моменты когда хочется умиляться ими, как милым, но хитрым ребенком. Роскомсвобода сообщает о встрече представителей Роскомнадзора и Госдумы с менеджментом Facebook. Ведомство планирует устроить комплексную проверку гиганта на предмет исполнения законодательства Российской Федерации во второй половине 2018 года и рассчитывает на сотрудничество в вопросах онлайн-безопасности. В этой новости интересно не сколько повестка - тем же самым занимаются подобные органы по всему миру (GDPR-же), сколько упорные и достаточно успешные попытки органов власти нацепить человеческое лицо, чтобы идти в ногу со временем. Конечно, не все получается ярко и живо, и ещё много картонно-бюрократического-советсткого нам придется преодолеть, но наши чиновники стараются, чтобы в застенках цифрового концлагеря мы видели румяное и добродушное лицо Большого Брата. Там поблагодим же их за это, товарищи!

Источник: https://roskomsvoboda.org/36178/
источник