🔐 Как защитить базу данных, если хакеры уже внутри?

И можно ли избежать расхождений между фактическими и заявленными конфигурациями? Ответы – на вебинаре «Защита баз данных» от Softline и «ЭВРИТЕГ».

📅 29 апреля
🕚 11:00–12:30 (МСК)
📍 Онлайн

Владелец продукта Артем Гарусев расскажет о «Платформе безопасности данных» – инновационном решении «ЭВРИТЕГ», которое позволяет эффективно защищать чувствительную информацию от внешних атак и внутренних угроз. А также объяснит, что представляет собой комплексный подход к безопасности и как реализовать концепцию Zero Trust на практике.

📎 Зарегистрироваться можно по ссылке

Конспирология кибербезопасности

Если вам кажется, что в кибербезопасности все профессионалы сплошь и рядом дружат с критическим мышлением — вам действительно кажется. Как и в остальных сферах, таких людей вряд ли большинство.

Наша сфера в целом толкает человека следовать критическому мышлению с одной стороны, но постоянные развития технологий и сильное пересечение со сферой работ спецслужб всех стран мира наоборот толкают к тому, чтобы скатиться в какую-нибудь конспирологию.

Вот примеры подобных заявлений, которые я слышал неоднократно:
- Об универсальных закладках во всё популярное ПО.
- Манипуляции Центрами сертификации и массовых подменах сертификатах.
- Давно взломанных современных стандартов шифрования.
- Распространении вирусов силами антивирусных компаний.

И знаете, распространение многих мифов очень на руку спецслужбам! Это напускает страху на их противников, заставляет отходить от действительно стойких методов безопасного общения в сторону «кастомщины», то есть чего-то самопального и, как правило, в разы менее защищенного. «Мы видим всё, следим за всеми вами».

И вот недавно популярный ТГ-блоггер Александр Картавых видимо оказался под влиянием такого акта «устрашения».

Скептики же в таких случаях цитируют одну из вариаций стандарта Сагала — «Экстраординарные утверждения требуют экстраординарных доказательств».

Давайте обсудим как раз чтение переписок в Телеграм. Это возможно?

- При доступе к устройству? Без сомнения, да. Тут достаточно скопировать папку tdata, все ваши переписки, скачанные на устройство, именно там.

- Доступе к аккаунту? Конечно, достаточно сделать экспорт нужных чатов. Что не касается секретных чатов, само собой.

- Через запрос силовых структур по официальным каналам? Нет, даже если запрос будет удовлетворен, будут разглашены только ваши метаданные. А именно:
- Телефон
- IP-адреса вашего входа
- Устройства, которыми вы пользовались для входа
И иные метаданные.
Откуда это известно? И по заявлениям самого мессенджера, и от моих коллег, которые активно участвуют в расследованиях вместе с силовыми структурами и по расследованиям журналистов.

- Через взлом MTProto-шифрования Телеграма? Нет.
Вот это уже чистая конспирология, и никаких даже минимальных доказательств этому нет. А нужны под это заявления уже совсем экстраординарные доказательства. Протокол мессенджера проектировался на стандартах современного шифрования, вобрав в себя все лучшие современные разработки криптографии, и избежал излишней «кастомщины». Его неоднократно проверяли, ведь логика его работы опубликована и открыта, как и исходный код клиентов мессенджера.

На данный момент протокол MTProto 2.0 не взломан. С современным шифрованием универсального взлома добиться крайне сложно. Даже официально не стойкие протоколы SSLv3, TLSv1.0, TLSv1.1 крайне сложно взломать на практике. Но припугнуть и разрушить их веру в ТГ гораздо проще с помощью дезинформации) Например, продемонстрировав полученные иным способом данные как «перехват Телеграма».

Скептицизм - полезная штука в кибербезе, помните про доказательства.

«Опасная» уязвимость Telegram Widget

Из-за массового репоста хайповых заголовков у многих сложилось впечатление, что нашли опасный баг, позволяющий угнать любой аккаунт ТГ через открытие какой-то ссылки.

Кратко: это не так, переживать не стоит.

Более подробно: этот баг может дать преимущества атакующему только в случае, если устройство находится у него (атакующего) в руках и разблокировано. Но, кажется, это уже и так само по себе дает такой набор возможностей атакующему, что и говорить нечего.

Для технарей: этот баг не увеличивает поверхность атаки без наличия каких-либо уязвимостей на ресурсе веб-версии «Телеграма».

Коллегам по каналам про кибербез рекомендую читать дальше первого абзаца после заголовка, писать в рамках своих компетенций и не рерайтить то, в чем не разобрались. Пугаете не технарей на пустом месте!

SEQuest — и снова социальный redteam фестиваля PHDays!

В этом году мы снова проведем наш конкурс по социальной инженерии на PHDays. Как и в прошлом году, участникам конкурса нужно будет примерить на себя роль Кевина Митника и проверить защиту фестиваля на прочность без использования каких-либо технических средств. Но в этом году SEQuest будет отличаться от предыдущего, ведь мы учли опыт прошлого года и постарались сделать конкурс еще более веселым, масштабным и более управляемым)

В чем же отличия?
- Заданий гораздо больше — 12. Только несколько из них с прошлого года, основная масса — новые!
- Упор на скрытность, если в этом году вас заметит охрана и зарепортит нам, участие в конкурсе приостанавливается на этот игровой день.
- Конкурс 18+.
- Будет задание на телефонный фишинг.
- Будет карта «красных зон» фестиваля, заходить куда строжайше запрещено, ведь они и не нужны для выполнения заданий. Это упростит участникам поиск нужных мест.
- Будет босс-задание, поверьте, оно будет для настоящих профи)

Покупайте билет на фестиваль, приходите в зону конкурсов и принимайте участие в SEQuest!

Более подробную информацию о заданиях, правилах и наградах напишем в следующем анонсе нашего конкурса.

Без паролей безопаснее

Пароли — атавизм кибербеза, придуманные когда-то от необходимости хоть как-то аутентифицировать пользователя, они стали стандартом безопасности. О том, почему это проблема, мы подробно писали тут.

И вот Microsoft сделали вход без пароля стандартом для новых учётных записей! Они предлагают только альтернативные методы аутентификации, более устойчивые к фишингу.

Пользователи могут войти с помощью одноразовых кодов, биометрии или ключей доступа (FIDO-ключей), а существующие пользователи могут и вовсе удалить пароль в настройках. Теперь это необязательный способ аутентификации.

А какие методы аутентификации предлагаются?
- Одноразовые коды – при входе система автоматически предлагает код вместо пароля. Коды, генерируемые специальными генераторами, наиболее устойчивы.

- Биометрия – распознавание лица или отпечаток пальца.

- FIDO-ключи – криптографическая аутентификация с открытым/закрытым ключом. Про них расскажем чуть подробнее:

— При регистрации устройство генерирует пару ключей.
— Закрытый ключ хранится локально, открытый – у сервиса.
— Вход подтверждается биометрией или PIN-кодом, без передачи чувствительных данных.

Все крупные IT-компании (Google, Apple, Amazon и пр.) также переходят на беспарольные методы. FIDO Alliance работает над улучшением совместимости ключей между платформами. Уже более 15 млрд аккаунтов поддерживают вход через FIDO.

Будущее приближается. Умрет ли фишинг? Классический — да, но он трансформируется в иные атаки на человека.

Научпоп про криптографию Второй Мировой Войны

5 лет назад я написал две статьи, где попытался максимально просто разобрать не самые известные моменты криптофронта Второй Мировой.

Получилось найти уникальные материалы на немецком языке, которые пару лет назад удивили даже специалиста музея Криптографии в Москве. Публикую их тут в неизменном виде по ссылкам в ВК.

P.S. Это максимально популярные статьи, для специалистов они могут показаться крайне упрощены, но как еще популяризовать такую тему?

Статья 1.

Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Войне, и, конечно же, поговорим о том, как их пытались взломать.

Радиоперехват стал известен с Первой мировой войны, поэтому ко второй мировой все страны-участники подготовились основательно, поэтому и бои на криптофронте были не менее ожесточенными.

Япония, СССР, Великобритания, США и Германия, в этой статье рассмотрим атаку и защиту каждой страны, ответим и на нестандартные вопросы:
- Почему шифровальщики носили с собой взрывчатку?
- Почему в армии США ценили коренных американцев?
- Как сводки погоды, минные поля и нацистские приветствия помогали союзникам?
- Почему СССР даже не пытался взломать шифровальные машины Германии?
- И почему математически идеальный шифр все равно расшифровывали?

Статья 2.

Думаете, что и так знаете про успехи США, Германии и особенно Великобритании в области криптографии?

“Я же смотрел “Игру в имитацию”!” - распространенный комментарий, распространенное заблуждение. Все было не так, как показали в кино. Британцы были не самые умные, Алан Тьюринг не был самым успешным в дешифровальной службе, а США не полагались только на своих союзников. Ну и британский компьютер, который вы видите ниже на картинке, НИКАК не связан с Тьюрингом.

А материал об успехе дешифровальной службы Германии впервые переведен на русский язык для этой статьи. Пришло время срывать покровы, интересно узнать как оно было на самом деле?

Выступаю на ИБ-Стендапе

Приходите на мое первое выступление на ИБ-Стендапе! Я расскажу о том как сложно быть хакером, и почему дело тут совсем не в технике)

Все мои шутки основаны на реальных событиях из жизни пентестера, но совпадения совершенно случайны!

Баги, репорты, атаки... Работа в ИБ — это стресс. А какой лучший способ расслабиться? Хорошо посмеяться, пока ваш лажовый сотрудник не открыл подозрительную ссылку.

ИБ-стендап — вечер, где «не комики», а крутые спецы из ИБ и кибербеза в шутку расскажут, что у них «накипело», а вы посмеетесь, типа это не про вас, ага. Полтора часа погружения в атмосферу стёба от серьёзных безопасников.

Не откладывайте в бэклог и присоединяйтесь к нам!

Когда: 20 мая в 19.00
Где: Кибердом
Промокод на скидку 10%: B10

Приходите, буду рад вашей поддержке!

Атаки на топ-менеджеров бывают разными

Топ-менеджеры всегда были и остаются приоритетной целью для целевых атак. Об этом мы уже писали на Хабре.

Но иногда атаки на руководителей, особенно в криптоиндустрии, выходят за рамки информационной безопасности. В ноябре прошлого года в Лас-Вегасе жертвой целевого похищения стал криптоинвестор!

Кто похитил его? Трое подростков! Модель злоумышленника — «школьник», но на этот раз с пистолетом.

Как это произошло? Жертва припарковала машину, её поймали на парковке, усадили на заднее сиденье её же авто и отвезли в пустыню.

Что они хотели? Доступ к криптовалютным счетам, и им это удалось. Подростки завладели активами на сумму около 4 миллионов долларов. Злоумышленники знали, кто их цель, и искали именно её.

Что в итоге? Жертву бросили в пустыне без средств связи, в 10 км от ближайшей заправки. Там она и сообщила об ограблении. Полиция задержала двух подростков, третий покинул страну. О судьбе похищенных средств информации пока нет.

Безопасность топ-менеджеров требует комплексного подхода. Даже если не учитывать грубую силу и шантаж, при целевых атаках могут использоваться различные методы. Например, введение в заблуждение членов семей жертвы.

Обо всех сценариях атак, кроме откровенно силовых, мы рассказываем на нашем курсе по собственной кибербезопасности для топ-менеджеров. Летом стартует второй офлайн-поток в Москве, и, возможно, будет запущен первый онлайн-поток.

Если вам интересно обучение самозащите вне контура компании, свяжитесь с нами по указанным контактам! Особые технические навыки для освоения курса не требуются, он подойдет всем.

Инсайдеры в Coinbase

Криптовалютная биржа отчиталась об успешном проведении расследования, в результате которого была вскрыта группа инсайдеров. Инсайд, как правило, встречается значительно реже внешних злоумышленников. Ведь сотрудника проще обнаружить и гораздо проще привлечь к ответственности. Но тем не менее и в классических финансовых структурах, и в криптовалютных трудится масса низкоквалифицированного и не очень сознательного персонала. Тут использовали именно такую «человеческую уязвимость».

Что же произошло? Злоумышленники получили выгрузки данных об активах и аккаунтах ряда клиентов биржи. И попробовали сначала шантажировать саму биржу их раскрытием, неудачно. А потом использовали эти данные для социальных атак на самих владельцев аккаунтов! Представлялись сотрудниками биржи и пытались получить доступ к активам.

Как они это сделали? Подкупили менеджеров клиентов, причем многих, но из одного региона, славящегося дешевой рабочей силой — индийского.

Ценили ли мошенники своих информаторов? Точно нет, шантаж этими данными самой биржи сразу поставил их под угрозу.

Какие данные были проданы?
- Имя, адрес, телефон и электронная почта.
- Последние 4 цифры номера соцстрахования.
- Замаскированные номера банковских счетов.
- Фотографии паспорта или прав.
- Данные о балансе жертв и переводах.

Что в результате? Были задеты лишь около 1% пользователей биржи, инсайдеры уволены. Об уголовных делах против них — ни слова. А жаль.

Выводы? Человек был, есть и будет оставляться важной и уязвимой составляющей большинства систем.

Буду участвовать, кому интересно - велком!)

И обязательно будем тут!)

Завтра стартует PHDays и наш SEQuest!

Уже завтра стартует наш конкурс по социальной инженерии на PHDays.
Мы будем ждать вас в зоне конкурсов павильона «Киберхаб» на стойке нашего конкурса.

Приходите, регистрируйтесь и участвуйте!
За каждое задание будут начисляться баллы PosiToken, которые можно обменять на мерч, а за первые 3 места от нас будет приз — худи социального инженера.

В прошлом году мы уже подводили итог нашего первого конкурса, но истинные его последствия видны лишь теперь. Ведь в этом году, чтобы получить бейдж участника, обязательно требуют паспорт, а получить бейдж на другого человека можно исключительно по доверенности!

Например, жена моего друга не смогла получить бейдж и на него, штамп в паспорте не засчитали)

Фестиваль однозначно стал безопаснее, но мы и в этот раз проверим его безопасность на прочность с помощью социальной инженерии!

The Trends - 100% рекомендасьон!

20 спикеров прилетают в Россию
из 15 стран мира и некоторые выступят здесь впервые!
Да, много новых связей ТОП уровня.

Мы подсчитали, что у спикеров The Trends более 100 млн подписчиков в соцсетях.

Вот лишь часть спикеров:

1. Иван Чебесков, Заместитель министра Министерство Финансов РФ;
2. Evan Luthra, Forbes 30 under 30, один из топов в крипте (India, UAE);
3. Эрик Китуашвили, тот самый "Давидыч";
4. Karim Usama, Лучший инфлюэнсер ОАЭ 2024 (Egypt, UAE);
5. Сергей Марков, Директор по ИИ, ПАО «Сбербанк»;
6. Andressah Catty, Известная медиа-персона, спикер ЮНЕСКО (Brazil);
7. Эдгар Григорян и Alex Gajic, Сооснователи WEB3 социальной сети DAOPEOPLE

И еще 100+ лидеров со всего мира.

—————————————

За 1,5 года ребята выросли
с 2 до 11 тысяч посетителей.
И обещают остаться ламповыми.

28-29 мая будем в Москве.
100% рекомендасьон!

Скидка 20% на все виды билетов тут (цена автоматом меняется перед оплатой)

Кстати, как у информационного партнера у нас есть три гостевых билета!

Если вы сегодня будете на фестивале PHDays, найдите Антона Бочкарева где-то у стойки нашего конкурса SEQuest, и я их раздам первым троим!)

Сегодня завершается PHDays, и соответственно наш конкурс по социальной инженерии SEQuest!

Кто еще не доехал до нас, приходите! Задания еще активны, а мы еще на стенде до 18 часов.

Пока выводы делать рано, но участников нашего конкурса много, очень много)

Кибериспытание: багбаунти 2.0 или что-то большее?

Вышло видео с нашей пленарной сессии на PHDays!
Обсуждали опыт Кибериспытаний с разных сторон, немного спорили о багбаунти, но вышло в целом интересно!

Смотреть на:
VK Видео
YouTube