SecAtor

2021-02-08 19:31:42 Infosecurity Magazine публикует очень важную (нет) статью о том, как сделать кибербезопасность более кибербезопасной.

Для этого надо всего лишь (барабанная дробь) ... увеличить диверсити и инклюзивность в вашей инфосек команде. Что для этого надо делать конкретно?

Во-первых, не только резко увеличить количество гендерквиров, женщин и цветных людей, но и предпринимать все меры, чтобы их удержать в команде. Например, дать им бОльшую зарплату просто за их небинарность и цвет кожи.

Во-вторых, если сотрудник выглядит как говно и пахнет также - окажите ему моральную поддержку. Равно как и если он не работает как надо - это просто проявление нейроразнообразия (новое словечко!). Короче, максимум времени надо уделять раздолбаям и лентяям, нормальные сотрудники не достойны вашего внимания, сами выкарабкаются.

В-третьих, если сотрудник несет бред - он просто оригинально мыслит. Необходимо создать культуру инклюзивности, каким-бы долбоклюем он не был (в целом, в том, чтобы принимать во внимание мнение нестандартно мыслящих людей есть рациональное зерно, но нельзя перегибать, иначе все свободное время уйдет на объяснение дуракам почему корова не летает).

Только так получится предотвратить растущую киберугрозу. Ведь, как известно, нет лучшей кандидатуры на должность CISO чем одноногая необразованная неподмытая ксеногендерная негритянка.

P.S. Один из пунктов мы пропустили, потому что гибкий подход к организации рабочего процесса с точки зрения локации и графика работы в инфосеке действительно полезен.

P.P.S. Мы не думаем, что, к примеру, женщины или инвалиды менее достойны работы в инфосек. И знаем массу ярких примеров обратного. Но мы против того, чтобы диверсити ставили во главу стола. Открыть/Комментировать

2021-02-08 15:50:19 Исследователи из словацкой ESET выпустили отчет о ландшафте киберугроз в 4 квартале 2020 года.

Основные тенденции:
- резко возросло количество атак на цепочки поставок (мы об этом говорили тоже) - только за 4 квартал словаки наблюдали такое же их количество, как за ранее происходило за год;
- количество зафиксированных ESET попыток атак на RDP выросло на 768% (!) и составило 29 млрд. штук. Это связано, конечно же, с переходом множества сотрудников на удаленную работу в связи с пандемией коронавируса и, как следствие, кратным увеличением использования RDP;
- количество операторов ransomware растет, соответственно количество операторов банковских троянов уменьшается - хакерские группы перепрофилируются на более выгодный вид киберпреступности;
- основной темой спама в 2020 году стал COVID.

Полный отчет - по ссылке. Открыть/Комментировать

2021-02-08 14:03:31 ​​Нешуточные страсти разгорелись на Шри-Ланке.

В субботу некая группа хактивистов осуществила DNS-спуфинг (подделка данных кэша DNS-сервера) администратора национального домена .LK, в результате которого перенаправила трафик на подконтрольную страницу, содержавшую перечисление недостатков шриланкийского бытия - коррупция, отсутствие свободы СМИ и вообще предвзятое отношение к тамилам.

Атакой были затронуты сайты местных предприятий и СМИ, а также Google .lk и Oracle .lk.

Ну и поскольку ZDNet, которые первые написали об этой атаке, поленились разобраться, что же за таинственные хакеры стоят за инцидентом, то мы дадим небольшие пояснения вместо них.

В Южной Азии живет народ тамилы, весьма многочисленный - всего около 77 млн. человек. В основном живут на территории Индии, но порядка 3 млн. живет в Шри-Ланке.

Поскольку национальное большинство в лице сингалов третировало тамилов, то в 1976 году последние создали повстанческое движение Тигры освобождения Тамил-Илама (ТОТИ), выступавшее за создание независимого государства Тамил-Илам на территории Шри-Ланки. И Тигры стали периодически стали устраивать замесы с правительственными войсками, в которых поучаствовали даже вооруженные силы Индии (отхватив в итоге по пране и ретировавшись к себе домой). ТОТИ, кстати, первые придумали пояса смертников, а также надевать их на женщин. Суровые товарищи, в общем.

Но в 2008 году правительство Шри-Ланки решило окончательно задавить Тигров, разорвало действовавшее перемирие и захватило подконтрольные ТОТИ территории. После чего те ушли партизанить в джунгли. В качестве сопутствующих допустимых потерь выступили 6,5 тыс. мирных жителей, погибших в ходе правительственной операции. Оставшимся же в живых тамилам с тех пор приходится несладко.

Поэтому можно смело говорить, что за атакой на NIC .lk стоят тамильские повстанцы, которым в джунгли завезли два ящика Интернета и книжку "DNS-спуфинг для чайников". А спонсором этого выступления стали раздолбаи из администратора национального домена Шри-Ланки. Открыть/Комментировать

2021-02-08 13:05:51 ​​Странная история с найденной уязвимостью в Signal.

Две недели назад Иран заблокировал использование мессенджера на своей территории. В ответ на это Signal предложил пользователям поддержать цифровую демократию в Иране и поучаствовать в создании TLS-прокси, с помощью которых персидские сподвижники смогут обходить блокировку.

В пятницу исследователь DuckSoft разметил на GitHub статью о том, что из-за корявости кода Signal иранские госорганы могут спокойно отследить все такие TLS-прокси и заблокировать их. Там же приводился PoC за авторством исследователя studentmain. А дальше начался цирк.

Ресерчеры направили данные в Signal. Администрация мессенджера выпилила статью на GitHub, сказав, что такие вопросы необходимо обсуждать на форуме Signal. Затем заблокировали DuckSoft на своем форуме, а в Twitter объяснили, что причиной всему этому стала "безответственность исследователя". Мол, если бы он тихонько написал про уязвимость безопасникам Signal, то все было бы ровно. А он зачем-то выкинул это на публику, негодяй. И вообще вел себя неуважительно.

Исследователи перезалили тему на GitHub, уже с соответствующими комментариями.

А в качестве вишенки на торте выступила статья BleepingComputer, которую под нажимом администрации мессенджера журналисты вынуждены были снести, а вместо нее поставили путанное извинение.

Когда ты борешься против цензуры с помощью цензуры. Открыть/Комментировать

2021-02-05 17:54:00 Вышел интересный обзор конкретной атаки ransomware Conti от инфосек вендора ClearSky.

Включает в себя переговоры с вымогателями, а также анализ транзакций BTC. Почитайте, познавательно. Открыть/Комментировать

2021-02-05 16:21:00 За 2020 год Google выплатили 6,7 млн. долларов в рамках своей программы Bug Bounty.

Самое большое разовое вознаграждение составило более 132 тыс. долларов, всего награждено 662 исследователя из 62 стран.

Да, этичным хакингом тоже можно зарабатывать деньги. И достаточно неплохие. Открыть/Комментировать

2021-02-05 15:03:00 Неутешительные новости касаемо ransomware.

BleepingComputer сообщает, что две крупные электроэнергетические компании Бразилии - Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) - на прошлой неделе подверглись атакам ransomware.

При этом Eletrobras - это вообще крупнейшая энергетическая компания в Южной Америке, но атака была направлена на ее дочернюю компанию Eletronuclear, которая занимается строительством и эксплуатацией атомных электростанций. Фукусимой прямо повеяло.

В результате атаки вымогателя некоторые административные сервисы были выведены из строя, но, слава Богу, технологические сегменты сети не были затронуты и на работу непосредственно атомных электростанций атака не повлияла. Какой конкретно штамм ransomware причастен к инциденту - пока не ясно.

В отношении второй атаки, на компанию Copel, информации немного больше. К ней причастен оператор ransomware Darkside, представители которого утверждают, что им удалось украсть более 1 Тб данных, в которых содержатся как данные клиентов и руководства компании, так и конфиденциальная информация, которую можно использовать для доступа к инфраструктуре Copel. А эта самая инфраструктура, по логике вещей, является критической.

В этом случае технологические сети также не пострадали.

С последней атакой не все ясно, так как еще 12 января румынские исследователи из Bitdefender выпустили бесплатный декриптор для Darkside. Возможно, что атака, о которой Copel сообщили 1 февраля в отчете американской SEC (бразильцы торгуются на нью-йоркской бирже) произошла сильно раньше. А возможно, что декриптор был использован, но это, понятное дело, не спасло от кражи данных вымогателями.

Как бы то ни было, учащающиеся атаки ransomware на объекты критической инфраструктуры энтузиазма нам не прибавляют. Поскольку велика вероятность корявого сегментирования сети, после чего шифровальщик проникнет в технологический сегмент и уронит какую-нибудь ICS (Industrial Control System), следом за чем брякнется какой-нибудь технологический процесс. Например, связанный с производством пестицидов. И начнется треш и гуро. Открыть/Комментировать

2021-02-05 13:13:00 Вчера мы по поводу этой новости решили не давать пост, а сегодня подумали, и решили все-таки написать.

Cisco выпустили обновления, устраняющие уязвимости в линейке маршрутизаторов RV160 и RV260 со встроенным VPN.

Всего исправлено семь уязвимостей (c CVE-2021-1289 по CVE-2021-1295). Cisco не дали технических подробностей, но сообщили, что балл их критичности равен 9,8 из 10. Это прямо очень много.

Ошибки заключаются в некорректном механизме обработки HTTP-запросов, благодаря чему хакер может удаленно выполнить код с рутовыми правами.

Плюс исправлены еще две уязвимости CVE-2021-1296 и CVE-2021-1297 в этих же маршрутизаторах, которые позволяют пользователю, не прошедшему аутентификацию, получить доступ к файловой системе.

Ну, и на сдачу - обновления для маршрутизаторов RV016, RV042, RV082, RV320 и RV325, исправляющие кучу уязвимостей, позволявших злоумышленнику выполнять команды с рутовыми правами, осуществлять RCE и вызывать DoS.

Поскольку все эти продукты продаются в России и используются в корпоративных сетях, то стоит задуматься о срочном обновлении. Открыть/Комментировать

2021-02-05 12:35:08 Google выпустили версию Chrome 88.0.4324.150 для Windows, Mac и Linux.

Обновление исправляет всего одну ошибку, зато какую. CVE-2021-21148 - это 0-day уязвимость, которая представляет собой переполнение кучи в движке V8 и, как сообщает Google, к моменту ее открытия 24 января уже активно использовалась злоумышленниками в дикой природе.

Судя по всему, эта уязвимость является одной из составляющих боевого эксплойт-кита, который применяли хакеры из северокорейской APT Lazarus при атаках на инфосек экспертов.

Так что всем причастным к отрасли ИБ необходимо срочно обновить свои Chrome. Ну, и остальным тоже.

Другую 0-day уязвимость в Internet Explorer, которую также использовали северокорейцы в этих атаках, обнаружили исследователи из южнокорейской инфосек компании ENKI. По их данным, атаке подверглись их собственные эксперты. И, хотя она не увенчалась успехом, полученные данные помогли выявить свежую ошибку. Соответствующий PoC имеется.

Правда Microsoft, в отличие от Google, эту уязвимость пока не исправили. Открыть/Комментировать

2021-02-04 19:49:00 ​​Что-то давненько у нас Джо Словика в ленте не было Открыть/Комментировать