RegreSSHion - новая/старая уязвимость OpenSSH

Иногда уязвимости возвращаются, и это происходит не из-за ошибок в исправлении, а потому что программное обеспечение меняется. Из-за обновлений уязвимость может снова стать актуальной.

Эта уязвимость «спала» с 2006 года, когда ей присвоили идентификатор CVE-2006-5051. В октябре 2020 года она «проснулась» в версии OpenSSH 8.5p1 и получила новый идентификатор CVE-2024-6387 с той же оценкой «Критическая». Она позволяет удаленно выполнять код с правами root на любой Linux-системе, основанной на glibc, без необходимости использовать OpenBSD.

Использовать эту уязвимость будут очень скоро, так как её подробный анализ уже выложил Qualys, а число потенциально уязвимых серверов исчисляется десятками миллионов.

В интернете пишут, что уязвимы версии от 8.5p1 до 9.8p1, но ЭТО НЕ ТАК!

Были выпущены промежуточные обновления для старых, но всё ещё поддерживаемых версий Linux. Например, для Launchpad/Debian/Ubuntu это можно увидеть на скриншоте в новости или по ссылке. Версия 8.9p1 - безопасна.

Поэтому, обновляйтесь до безопасных версий!
Если это невозможно, закрывайте порт с помощью белого списка IP-адресов.

Но сделайте это как можно быстрее, потому что атаки могут начаться в любой момент.

Еще одна статья о противодействии мошенничеству

В этот раз давали комментарии профильному изданию по кибербезопасности SecurityMedia!

https://securitymedia.org/info/otvetit-nelzya-ignorirovat-opasnosti-telefonnogo-moshennichestva-i-kak-im-protivostoyat.html

Якобы взлом Андроид через Telegram

Заявляется во многих каналах именно так, но давайте разберемся, а что мы видим?

1. Получено сообщение с картинкой превью, но не от пользователя, а от бота! Видимо через ответ бота, можно поставить картинку на любой файл. Ок.

2. При попытке файл открыть, ТГ предлагает открыть в другом приложении. Штатное поведение.

3. Файл оказывается исполняемым APK файлом, и если у вас разрешено устанавливать APK-файлы написанные непонятно кем и из непонятно откуда, то мы можете выбрать менеджер пакетов и установить это приложение. Тоже штатное поведение.

4. Нужно прожать еще несколько кнопок и галочек в настройках, чтоб дать доступы нужному приложению.

Итого, вы скачали через Телеграм шпионскую программу, сами указали что ее нужно установить, проставили все разрешения, и она заработала!

Что тут необычного и проблемного? Только картинка на превью. Все остальное на видео сделал сам пользователь.

О безопасности на конференциях

Об этом поговорили с Security Media, рассказал об интересных случаях и даже упомянул товарища, который целенаправленно ходит на ИБ конференции без билетов)

https://securitymedia.org/articles/interview/anton-bochkarev-tretya-storona-lyubaya-konferentsiya-uyazvima-poetomu-vsegda-nuzhno-byt-nacheku.html

Обновления, которые вызывают DOS

Ситуация - вы обновляете ПО, и ваш сервер/ПК перестает работать. Сейчас подобное случается не часто, ведь производители гораздо тщательнее тестируют свои продукты, чем раньше. Но иногда подобное случается в катастрофических масштабах! И особенно иронично, что виной текущего массового сбоя стала ИБ-компания CrowdStrike!

После обновления их продукта, любой сервер или рабочая станция под ОС Windows уходит в циклическую перезагрузку!

Что же в итоге встало?
- It-инфраструктура Австралии, там это ПО было очень широко распространено. Включая тюрьмы, полицию, администрацию. Ждем новостей о побеге из-за сбоя)

- Остановили полеты крупные авиакомпании США American Airlines, United Airlines и Delta Airlines.

- Задержки рейсов в аэропорте Испании.

- Проблемы с регистрацией и бронирование в Turkish Airlines.

- Аэропорт Берлин-Бранденбург приостановил работу целиком.

И многие другие компании и организации, гораздо менее заметные на фоне.

Что же делать?
Пока есть 2 решения:

1. Отключить локальные сервера с ПО CrowdStrike.

2. Переименовать путь \windows\system32\drivers\crowstrike на любой другой!

Вендор скорбно обещает вскоре выпустить новое обновление и все исправить.

Доверие к вендору серьезно подорвано. Но такие сбои имеют влияние и на всю индустрию безопасности, ведь именно под такими постами появляются люди, которые начинают утверждать что "обновления не нужны", "давно не обновляюсь, и все хорошо". На фоне подобных сбоев к их словам начинаю прислушиваться, значительно облегчая работу злоумышленникам.

Да, обновления иногда приносят проблемы, поэтому необходимо их тестировать перед массовой установкой!

Актуальные обновления жизненно необходимы для безопасности. Иначе никак!

P.S. На картинке автор комментария учит плохому под новостью о сбое.

А что у нас с безопасностью?

Фундаментальный вопрос, который задается в разных формулировках и может значит очень разное.
Но иногда, лучшим на него ответом будет не уровень защищенности компании, а оценка способности защищаться.

В докладе "Психологический возраст кибербезопасности" на SPB Highload 2024, я рассказал наш подход к этому вопросу.

- Мы рассмотрели плюсы и минусы классических подходов к аудиту.
- Подсветили наше виденье того, когда и какие аудиты нужны.
- Предложили иной путь, путь оценки через "Киберзрелость" - оценку того, насколько ваш подход к информационной безопасности серьезен и насколько вы способны защищаться.

Также в докладе была указана ссылка на анкету базовой самооценки, они всем доступна для скачивания!

Смотреть доклад тут.

100 000 за удачное письмо — первая выплата по кибериспытаниям!

Тут случилось уникальное по меркам российского ИБ событие — один из исследователей смог провести успешную фишинговую атаку на инфраструктуру Innostage, которая находится на кибериспытаниях, и теперь получит выплату в 100 000 рублей. Это много — особенно по меркам bug bounty. А главный "приз" — 5 млн рублей — будет выплачен тому, кто сможет реализовать недопустимое событие — вывести деньги со счетов компании.

И мы очень рады, что процесс кибериспытаний, к организации которого мы приложили руку, не просто стартовал, а дошел до первой выплаты. Причем выплаты именно за фишинг — потому что изначальная философия кибериспытания звучала так: "white как black", то есть исследователям должны быть доступны все инструменты настоящих черных хакеров.

Мы активно участвовали в разработке самой методики кибериспытаний, привлекали экспертов из комьюнити для максимально объективного взгляда, и сейчас активно поддерживаем, участвуем в экспертном совете!

Мы очень надеемся, что кибериспытания не только изменят российский ИБ-рынок, но станут массовым и эффективным способом построения защиты и демонстрации защищенности инфраструктуры российских и не только компаний. А еще — существенно поднимут величину выплат за серьезные уязвимости.

Почему так плохо? "СЕКРЕТНО"

А причина очень простая — у нас даже на коммерческом рынке совершенно кошмарная нехватка людей. Это при том, что там и зарплаты хоть и ниже чем в IT, но вполне нормальные. И понятные условия работы, прозрачный карьерный трек и так далее по списку. А главное всегда есть варианты, не понравился работодатель или закусился с начальством — ушел из одной ИБ-компании, например, "Джет" в "Позитив", из "Позитива" в "Касперский" или "Бизон". Мы знаем людей, которые ухитрились пройти вообще все компании из топ-5 российского кибербеза. Плюс за последние года 2 в индустрии начали платить прям ощутимо больше. Плюс можно действительно учиться у лучших. Не зашло, или достиг потолка — ушел в другое место делать те же самые проекты.

А теперь смотрим на госуху, даже не околовоенку, а просто госуху. Вспоминаем, как год назад одно ведомство искало себе специалиста на оклад в 15 тысяч рублей? Интересно, нашли?)) В "аквариумах" (С) история не сильно лучше, там разрыв с коммерческим рынком в деньгах может быть в разы. Ну и условия работы, понятное дело, другие — отдыхайте на курортах Краснодарского края, как говорится. И нервяка больше в разы. В итоге, из госухи люди бегут даже при значительных достижениях, бегут в коммерцию, где им тяжело устроиться из-за специфического опыта и закрытости прошлого работодателя. Примеров перед глазами достаточно. Мы, кстати, знаем одного человека, который после научной роты ушел на службу — продержался там целых 5 лет!

В итоге мы получаем вполне конкретный отрицательный отбор и ситуацию, когда лучшие студенты военных ВУЗов ездят на хакерские соревнования (условные CTF) и доблестно занимают там первые места с конца, вызывая массу шуток. И это в то время, когда обычные пацаны из совершенно гражданских ВУЗов выигрывают российские и международные соревнования. А в госструктурах они моментально начинают чувствовать себя как в болоте или либо быстро уходят, либо долго деградируют.

Так что какие нафиг предприниматели и стартапы? Или кому-то охота пару лет просто бумажки собирать под обещание "денег когда-нибудь"? И в лучше случае получится третьесортный интегратор, который будет сидеть на контрактах с оборонкой с текучкой кадров как на Амазонке. Нет, мы все все знаем один ОЧЕНЬ успешный пример, но там человек вывез на связях с генералами и финтехом, и то компания годами сидела на контрактах одного конкретного заказчика.

Так что пока у нас тотальная "секретность", коммерческий ИБ-рынок будет на две головы выше, а люди из "госов" будут при первой возможности бежать на гражданку. Потому что очень хочется кушоц и по возможности интересных задач. Можно платить человеку 70% его зарплаты на гражданке, но платить 30-летнему эксперту зарплату младшего специалиста из условных "Джетов" — это, извините, днище. И все это говорит о том, что уважаемым ведомствам люди просто не нужны.

О нас, прямо сейчас

Привет!

Мы снова начали меньше писать в канал. Причина простая и скорее хорошая — у нас стало гораздо больше работы. Но все равно, будем исправляться)

Мы с некоторым удивлением поняли, что будущее — за сочетанием собственных продаж и возможностью использования заемной sales force, так что у нас появилось несколько новых "коробок" для наших партнеров. И да, ИБ, как и многие другие индустрии — это про совместный успех и умение договариваться и двигаться куда-то вместе.

За пару месяцев мы провели несколько десятков встреч, поучаствовали в нескольких конференциях (на которые мы стараемся не ходить без конкретной цели), завели пару десятков новых полезных знакомств, у нас наконец запустилась функция собственных продаж, да и в целом дела идут неплохо. Если получится — осенью может случиться первая конференция, где мы будем одним из организаторов, но об этом пока рано говорить предметно.

А еще — российская ИБ растет буквально семимильными шагами. И тут вопрос не столько объемов рынка (он, очевидно, растет), сколько количества направлений. Новые продукты, новые концепции, одна идея кибериспытаний чего стоит. И эта трансформация — она не столько в моменте, сколько на годы. Опять же, появился Кибердом — удивительное и очень прикольное пространство, которое постепенно становится своего рода "ИБ-хабом" в Москве.

Так что впереди огромный путь, который мы хотим пройти вместе с индустрией. Куда он приведет — не понятно. Да, часто мы сфокусированы на более жизненных и локальных задачах. Но думать о будущем иногда тоже интересно)

Ищем специалистов по аудиту персональных данных

У нас тут (вроде как собираются) с 1 января вводят оборотные штрафы за утекшую персоналку, и по этой причине многие наши клиенты заинтересованы в том, чтобы как-то этот вопрос решить. У нас есть много заказов на аудит ситуации с хранением и обработкой персональных данных у клиента, и у нас точно не хватает исполнителей на них.

Если у вас есть подтвержденный опыт работы с оценкой состояния информационной безопасности в части персданных, оценки соответствия его соответствия российской нормативке, вы работали со 152-ФЗ и вы готовы брать разовые проекты — напишите, пожалуйста, нам в личку (https://www.tgoop.com/TG_3side). Мы проверим ваш опыт, репутацию и будем предлагать проекты за достойное вознаграждение.

Условия — стандартные площадки 3side (прямой договор с заказчиком или работа через наше юрлицо). Да, это переработки. Да, за хорошие деньги. Пишите!

Apple M1 — разбор с точки зрения аппаратной безопасности

Давным-давно, в далёкой-далёкой яблочной компании зародилась идея создать собственный компьютерный процессор. И вот, спустя годы, Apple презентовала свой десктопный процессор M1. Это была, безусловно, революция на рынке компьютерных чипов. Впервые мобильный процессор был поставлен в один из самых популярных ноутбуков мира. И вместе с отличной производительностью чип Apple Silicon унаследовал и высокий уровень безопасности, которым всегда славились мобильные устройства Купертино.

Поэтому в этой статье представлено описание устройства Apple M1 и систем, которые обеспечивают его защиту от взлома.

https://telegra.ph/Apple-M1--razbor-s-tochki-zreniya-apparatnoj-bezopasnosti-05-20

Источник материала — статья на хабре, в канал предложена самим автором.

"Так безопасно?" №13: А чем проверить файл/ссылку?

Virustotal — ресурс которые позволяет вам абсолютно бесплатно проверить любой файл множеством антивирусов и получить результаты буквально через минуту. Интерпретировать его результаты просто, в большинстве случаев все антивирусы будут единогласны, если же от несколько из них выдают “красный” статус, можно насторожиться, но часто это один или два могут выдать ложный результат. Но если же “красных” статусов больше, то файл вредоносен и обратите внимание что именно будет написано. Тип вредоносного ПО может быть достаточно любопытным, от майнера, эксплуатирующего ваши ресурсы, или ПО навязчивой рекламы (AdWare), до полноценных вирусов/троянов/шифровальщиков.

Ограничений на Virustotal несколько, размер файла - более 650 МБ, и публичность. Все что вы загрузите туда, будет видно всему интернету! Именно поэтому запрещено загружать туда конфиденциальную информацию, ее может скачать любой вирусный аналитик в мире.

Также хотелось бы отметить, что если вам прислали зашифрованный архив (защищенный паролем), то перед отправкой придется пароль ввести и файл оттуда вытащить. Будьте крайне осторожны, без серьезных оснований лучше самостоятельно это не делать, т.к. случайное двойное нажатие запустит файл! Знаю лично вирусного аналитика, который расслабился и зашифровал себе рабочий ПК, потеряв труды последнего месяца.

Если же вы чувствуете себя более продвинутым пользователем, более любопытны, или хотите проверить на вредоносность не только файлы, но и ссылки - вам поможет app.any.run.

Это бесплатный сервис, требующий лишь регистрацию, который позволяет запускать файлы или открывать ссылки на изолированной виртуальной машине! Все что выполнит вредонос будет показано вам и на экране, и в виде записей в таймлайне. К каким файлам вирус обращался, откуда и что он пытался скачать, и прочее прочее. Или не будет показано никакой отмеченный красным активности, если файл не выполнял ничего подозрительного. Единственное, этот сайт не так дружелюбен к пользователям, как VirusTotal, ведь он создан для исследователей вирусов, но в целом за пару часов можно все понять, посмотрев чужие отчеты по запуску.

App.any.run - судит в первую очередь по поведению файла, но также сравнивает файлы с теми, что уже проверяли на Virustotal. И аналогично про публичность, все что вы туда загрузите, будет видно другим исследователям, такова цена бесплатного использования.

#3side_так_безопасно

И снова срочно патчим Windows

Помните массовые взломы по уязвимости MS17-010? Эпидемию WannaCry, Petya и NoPetya?
У нас новый кандидат на подобную эпидемию!

Что за уязвимость?
13 августа Майкрософт закрыла уязвимость (CVE-2024-38063), позволяющую выполнить удаленное выполнение кода в обработчике протокола IPv6. Этой уязвимости не нужно ничего, только включенный протокол. А начиная с 2008 он необходим множеству компонентов операционной системы, особенно на Windows Server.

Кто уязвим?
- Любая версия Windows с включённым по умолчанию протоколом IPv6.

Как защищаться?
Закрыться от эксплуатации с помощью фаервола самой ОС - невозможно, т.к. обработчик принимает пакеты ДО их обработки фаеволом!

Поможет:
- Отключить IPv6, но может помешать работе иных компонентов ОС.
- Поставить обновления от 13 августа.

Через нее уже ломают?
Нет, так как и исследователь и Майкрософт уверены в том, что ее эксплуатация будет легкой и массовой, подробности уязвимости не раскрываются. Эксплойта в публичном доступе пока нет. Но это лишь отсрочка, реверс-инжиниринг патча позволит злоумышленникам восстановить логику ошибки и написать эксплойт.

Фантомный FTP порт

Знаете в чем разница между этими двумя картинками? Нет, не в поднятом FTP у нас на сайте!

Иногда на запросы сканера портов NMAP вам отвечает вовсе не сам хост, а какой-то из роутеров по пути. Этим не удивить хакеров и админов во время сканов внутренней сети. Роутеры и иногда средства защиты любят путать - отвечать от имени несуществующих сервисов. Но когда скан идет через интернет такое далеко не сразу приходит в голову.

На верхней части скриншота отображается несуществующий в реальности сервис FTP, а отвечает вместо него IPhone Hotspot, сервис раздачи интернета, через который я его и раздал на макбук! Но, а если я подключу ноут к обычному Wi-fi, то иллюзия исчезает, и это уже на нижней части скриншота.

И это не персональный баг, беглый гуглинг по словам " Apple hotspot port scan, 21 port open" дал множество схожих вопросов.

Почему так происходит? Не понятно. У кого есть время на исследование - велком!

И помните, что иногда на сканах вам отвечает далеко не сам сервис, а что-то по середине.

Эксплойт на RCE в IPv6

Итак, через неделю после закрытия, эксплойт на уязвимость в IPv6 написан и пока продается за $30 000.
Далее он подешевеет, потом станет приватным, а еще чуть позже будет слит в публичный доступ.

Ждем массовую эксплуатацию в ближайшие дни! А может и червя.

Обновляйтесь, или отключайте протокол.

Если выберете второй вариант, не забудьте что протокол включен по умолчанию, и в ряде случаев он может включиться обратно, без вашего участия. Поэтому лучше обновляйтесь.

Китайский бекдор в MIFARE Classic

С 2007 года начали активно использоваться карты MIFARE Classic. От общественного транспорта ("Тройка", "Подорожник" и прочие), до пропусков в бизнес-центры. Их использовали буквально повсюду по всему миру.

В чем защита?
Фишка подобных карт в том, что с клонировать их, имея доступ только с самой карте - крайне сложно. Хотя исследователи раз за разом находили в их защите новые уязвимости, которые позволяли подбирать ключи, и все же клонировать карты, стандарт модифицировали, и карты становились безопаснее. Вот и сейчас исследователи рутинно искали изъяны защиты нового стандарта. А нашли сенсацию и скандал.

Что обнаружили?
Крупнейший китайский производитель карт Shanghai Fudan Microelectronics закладывал в каждую карту аппаратный бекдор! Который позволял с клонировать любую карту, зная специальный ключ - единый для всех карт. Например, для последней прошивки FM11RF08S - A396EFA4E24F. Это ключ фактически сводит на нет всю защиту карт последнего поколения.

Когда внедрили эту лазейку?
По мнению исследователей с самого начала в 2007 году. 17 лет весь мир пользовался картами, которые были беззащитны перед знающими.

Вот так бывает.
Репутация производителя не панацея.
Все тайное становится явным, а бекдоры находятся.
Сколько раз его использовали за 17 лет? Неизвестно.

Ссылка на само исследование - https://eprint.iacr.org/2024/1275.

Арест Дурова, Телеграм и подобное

Когда случаются подобные громкие ситуации многие каналы начинают об этом писать.

Для новостных это логично, но даже профессиональные и корпоративные бегут за волной хайпа и стараются высказать свое важное мнение. Мнение которое зачастую выходит за области их профессиональных компетенций и совсем их не красит. Постепенно многие превращаются "экспертов по всему".

Наш канал максимально старается не выходить за области своих компетенций, и не комментировать подобное. Для нас качество материала и наша репутация значительно важнее сиюминутного хайпа и прироста подписчиков.
Поэтому не удивляйтесь, что от нас об этом ни слова!

BIS Summit 2024

Выступаю 19 сентября в Москве на BIS Summit!

Спасибо организаторам за приглашение, и за место в максимально подходящей мне секции.

Регистрируйтесь, приходите, будет интересно.


https://www.bissummit.ru/programma-meropriyatiya-bissummit